zurück zum Artikel

Von den drei zu hackenden Laptops ist als Erstes das MacBook Air mit Mac OS X 10.5.2 den Knackversuchen der Teilnehmer auf der CanSecWest zum Opfer gefallen. Die Laptops mit Windows Vista SP1 und Ubuntu 7.10 blieben bislang unkompromittiert.

Von den drei zu hackenden Laptops ist als Erstes das MacBook Air mit Mac OS X 10.5.2 den Knackversuchen der Teilnehmer des "PWN to OWN"-Wettbewerbs [1] auf der CanSecWest zum Opfer gefallen. Die Laptops mit Windows Vista SP1 und Ubuntu 7.10 blieben bislang unkompromittiert. Nach Angaben [2] des Ausrichters des Wettbewerbs TippingPoint gelang es Charlie Miller, Jake Honoroff und Mark Daniel vom Sicherheitsdienstleister Independent Security Evaluator über eine Lücke im Webbrowser Safari das Gerät unter ihre Kontrolle zu bringen. Die Lücke soll offiziell noch nicht bekannt sein und auch weiterhin unter Verschluss bleiben, bis Apple einen Patch ausgeliefert hat. Neben 10.000 Dollar Preisgeld erhalten die Gewinner das gehackte MacBook als Dreingabe.

Bereits vergangenes Jahr gelang es Hackern, ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 zu knacken [3]. Als Einfallstor nutzten sie damals eine Zero-Day-Lücke in QuickTime, das sich beim Aufruf einer Webseite mit Safari oder Firefox Schadcode unterschieben ließ. Auch diesmal gelang der Hack erst in der zweiten Stufe, also unter Mitwirkung eines Anwenders, der eine präparierte Webseite ansurft. Den Netzwerkangriffen von außen widerstand auch das MacBook.

Das bisherige Ergebnis lässt aber offen, ob es nun einfacher war, Mac OS X zu hacken oder einfach attraktiver, weil es das MacBook Air dazugab. Allerdings kann sich die Hardware des Ubuntu-Systems ebenfalls sehen lassen: ein Vaio VGN-TZ37CN. Immerhin dürfte der Vorfall die Zero-Day-Patch-Rate [4] von Apple nicht verschlechtern, da sowohl die Informationen als auch der Exploit unter Verschluss gehalten werden.

Ob die Lücke auch in der Windows-Version von Apples Safari zu finden ist, ist unbekannt. Apple hat gerade begonnen, Safari über iTunes-Updates [5] an Windows-PCs zu verteilen.

Siehe dazu auch:

• PWN to OWN Day Two: First Winner Emerges! [6], Meldung von TippingPoint

(dab [7])

URL dieses Artikels:
https://www.heise.de/-193446

Links in diesem Artikel:
[1] https://www.heise.de/news/Hacker-Wettbewerb-Welches-Betriebssystem-ist-das-sicherste-193158.html
[2] http://dvlabs.tippingpoint.com/blog/2008/03/27/day-two-of-cansecwest-pwn-to-own---we-have-our-first-official-winner-with-picture
[3] https://www.heise.de/news/Hack-a-Mac-Sicherheitsluecke-in-Apples-Safari-gefunden-170098.html
[4] https://www.heise.de/news/Black-Hat-Neue-Metrik-fuer-Sicherheit-von-Betriebssystemen-vorgestellt-193381.html
[5] https://www.heise.de/news/Apple-verbreitet-Safari-im-Gepaeck-von-iTunes-Updates-192225.html
[6] http://dvlabs.tippingpoint.com/blog/2008/03/27/day-two-of-cansecwest-pwn-to-own---we-have-our-first-official-winner-with-picture
[7] mailto:dab@ct.de

Copyright © 2008 Heise Medien