Hack-a-Mac: Sicherheitslücke in Apples Safari gefunden

Im Rahmen eines auf der Sicherheitskonferenz CanSecWest stattfindenden Wettbewerbs Hack-a-Mac "PWN to own" haben zwei Teilnehmer ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 gehackt. Allerdings drangen sie nicht auf direktem Wege in den Rechner ein, vielmehr nutzen sie eine Lücke in Apples Webbrowser Safari. Beim Besuch einer von ihnen aufgesetzten präparierten Webseite wurde dann Schadcode auf das MacBook geschleust und mit den Rechten des angemeldeten Anwenders gestartet. Derartige Lücke kannte man bislang hauptsächlich von Microsoft Internet Explorer – zuletzt mussten die Redmonder eine ähnliche Lücke außerplanmäßig stopfen. Allerdings war der Browser dabei nur der Angriffsvektor, der eigentliche Fehler lag in Windows.

Für den Einbruch kassierten die Hacker Shane Macaulay und Dino Dai Zovi 10.000 US-Dollar Preisgeld sowie das gehackte MacBook. Innerhalb von neun Stunden will Dai Zovi die Lücke gefunden und den Exploit dafür programmiert haben. Einzelheiten zu der Lückes sollen zunächst nicht veröffentlicht werden. Eventuell wollen die beiden nochmals Geld für den Hack kassieren. Der Sicherheitsdienstleister TippingPoint zahlt Kopfgelder für neue, unveröffentlichte Lücken, in diesem Fall nochmals 10.000 US-Dollar. Apple ist über den Vorfall informiert, ob der Hersteller bereits nähere Informationen erhalten hat und an einem Patch arbeitet, ist unbekannt.

Im Rahmen des Wettbewerbs gab es zunächst ein System zu hacken, wobei allerdings verschärfte Regeln galten: Über die Lücke musste der Eindringling sofort Root-Rechte erhalten, was offenbar niemanden gelang. Deshalb stellten die Veranstalter ein zweites System zum Hacken bereit, für das die Bedingungen etwas gelockert wurden.

Siehe dazu auch:

• First Mac Hacked Cancel Or Allow, Meldung von CanSecWest

(dab)