Safari gehackt: Pwn2Own produziert erste Ergebnisse

Flavio Trillo
38

Der Safari-Browser, installiert auf einem MacBook, wurde von Sicherheits-Experten der Firma VUPEN erfolgreich attackiert. Der Angriff fand im Rahmen des Hacker-Wettbewerbs Pwn2Own statt. Nachdem der Zielrechner zu einer speziell präparierten URL gelockt wurde, verschafften die Spezialisten sich Zugriff auf das MacBook. Sie starteten Programme und waren sogar in der Lage, Dateien auf die Festplatte zu schreiben.

Ohne den Safari selbst zum Absturz zu bringen, konnten die Hacker die Taschenrechner-Anwendung auf dem MacBook starten. Drei Mitarbeiter benötigten etwa zwei Wochen die Sicherheitslücke zu finden. Besondere Schwierigkeiten habe das 64-bit-Betriebssystem bereitet, so Chaouki Bekrar, Mitbegründer von VUPEN gegenüber ZDNet. Eine Lücke zu finden sei an sich nicht sehr aufwendig, doch das Ausnutzen dieser Lücke mit einem Exploit habe eine echte Herausforderung geboten.

Unter Umgehung zweier der wichtigsten Sicherheitsmechanismen von Mac OS X war es möglich, das MacBook unter ihre Kontrolle zu bringen. Weder ASLR noch DEP waren in der Lage, die Attacke zu verhindern. Dabei dient gerade DEP dazu, Programmausführungen aus Speicherregionen zu verhindern, die diese eigentlich nicht zulassen. Gleichzeitig wurde aber auch nicht deutlich, ob die Hacker sich Root-Zugang zu dem Zielrechner verschaffen konnten.

Scheinbar zufällig veröffentlichte Apple gestern eine Aktualisierung für Safari, das allerdings laut Angaben des Herstellers nur Stabilitäts- und Kompatibilitäts-Probleme beheben soll. Ob der Pwn2Own-Wettbewerb und seine Teilnehmer das Update angeregt haben, ist nicht bekannt.

Bekrar und sein Team gewannen mit ihrem Exploit einen mit 15.000 US-Dollar dotierten Preis sowie ein MacBook Air. Augenzeugenberichte, nach denen das Notebook bei der Übergabe an die Hacker ängstlich gezittert haben soll, konnten nicht bestätigt werden.

Neue Artikel von GIGA APPLE

GIGA Marktplatz