Apfelnews Apple News Blog, iPhone, iPad, Mac & vieles mehr
Schon zum 17. Mal findet die CanSecWest in Vancouver statt. Dort können sich Hacker beweisen und Sicherheitslücken ausnutzen. Erfolgreiche Programmierer gehen mit einem Preisgeld nach Hause. Bereits am ersten Tag wurden zwei Exploits in macOS (unter Verwendung von Safari) gefunden, die es einem Angreifer erlauben, root-Rechte zu erlangen. Aber auch andere Programme wurden bereits ausgenutzt.
Auf einmal ist man root
Auf der Zero-Day-Initiative-Webseite wurden erste Ergebnisse dessen veröffentlicht, was der erste Tag der Konferenz zu bieten hat. Den Anfang machten die Hacker Samuel Groß und Niklas Baumstark, denen es gelungen ist, mittels Sicherheitslücken in Safari ein Programm mit root-Rechten zu starten. Außerdem wurde die Touch Bar des MacBook Pro mit einer Botschaft gefüllt.
Ausgenutzt wurde eine Use-After-Free-Lücke (UAF) in Safari. In Kombination mit drei Logikfehlern und einer Null-Pointer-Referenz ist es ihnen gelungen, unter root-Rechten ein Programm auszuführen. Das brachte ihnen 28.000 Dollar und 9 „Master of Pwn“-Punkte.
Auch dem Chaitin Security Research Lab ist es gelungen, eine Sicherheitslücke in Safari auszunutzen, um letztendlich root-Rechte zu erhalten. Hierbei wurden insgesamt sechs Fehler ausgenutzt, was dem Team ein Preisgeld von 35.000 Dollar brachte. Allerdings werden nicht nur Apple-Systeme auf der Konferenz geknackt. Auch der Adobe Reader, Ubuntu Desktop und Microsoft Edge wurden in ihre Schranken verwiesen.
Die Sicherheitslücken samt deren Details werden im Rahmen der Konferenz an die Entwickler mitgeteilt, damit diese die Fehler beheben können – es ist also mit einem baldigen Patch-Day zu rechnen.
