Hackerwettbewerb Pwn2Own 2017: Lücken in Safari, Firefox, Edge, Windows und MacOS aufgedeckt

In den ersten beiden Tagen des Wettbewerbs Pwn2Own, der im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver stattfindet, haben Hacker zahlreiche Zero-Day-Lücken präsentiert. Sie stecken in den Browsern Edge, Safari und Firefox, Anwendungen wie Adobe Reader und Adobe Flash Player sowie in den Betriebssystemen wie Windows und Linux und MacOS. Für die Entdecker wurden Belohnungen bis zu 80.000 Dollar pro Sicherheitslücke ausgeschüttet.

Mitarbeiter von 360 Security zeigten auf der Konferenz einen Heap-Überlauf in der JPEG200-Komponente von Adobe Reader. Kombiniert mit zwei weiteren Bugs im Windows-Kernel gelang es ihnen, die vollständige Kontrolle über ein System zu übernehmen, was ihnen 50.000 Dollar einbrachte.

Die deutschen Sicherheitsforscher Samuel Groß und Niklas Baumstark haben Safari gehackt und eine Nachricht auf der Touch Bar des MacBook Pro eingeblendet (Bild: Twitter/Samuel Groß).

Den deutschen Sicherheitsforschern Samuel Groß und Niklas Baumstark vom Karlsruher Institut für Technologie (KIT) gelang es, durch Ausnutzung mehrere Lücken in Safari Root-Rechte für MacOS zu erhalten und eine Nachricht in der Touch Bar des neuen MacBook Pro zu hinterlassen. Ihre Belohnung belief sich auf 28.000 Dollar.

80.000 Dollar erhielten sich Mitarbeiter von Tencent Security für einen Fehler in der Chakra-Engine des Microsoft-Browsers Edge. Er erlaubte es ihnen, Schadcode außerhalb der Sandbox des Browsers auszuführen. Weitere 25.000 Dollar gingen an eine zweite Forschergruppe von Tencent Security, nachdem sie erfolgreich Schadcode in Adobe Reader eingeschleust und mithilfe eines Use-after-free-Bugs im Windows-Kernel mit Systemrechten ausgeführt hatte.

Chaitlin Security zeigte einen erfolgreichen Angriff auf Ubuntu Linux. Ein Heap Out-of-Bounds gewährte den Forschern Zugriff auf den Linux-Kernel, was Trend Micro, dem Veranstalter des Hackerwettbewerbs Pwn2Own, 15.000 Dollar wert war.

Ebenfalls Root-Rechte für MacOS sicherten sich Mitarbeiter von Chaitlin Security Research Lab. Sie kombinierten dafür sechs Schwachstellen in Safari und Windows Server. Ihre Arbeit wurde mit 35.000 Dollar belohnt. Ein weiterer Angriffsversuch auf Safari konnte dagegen nicht in der vorgeschriebenen Zeit abgeschlossen werden.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Am zweiten Tag gingen Mitarbeiter von 360 Security und Tencent Security jeweils erfolgreich gegen Adobe Flash Player vor. In beiden Fällen konnte Schadcode mit Systemrechten ausgeführt werden, was jeweils eine Prämie von 40.000 Dollar einbrachte. Forscher von Tencent Security präsentierten zudem zwei weitere erfolgreiche Angriffe auf Microsoft Edge, eine Attacke auf Windows und eine Root-Lücke in MacOS, an der erneut der Apple-Browser Safari beteiligt war.

Auch Mitarbeiter von 360 Security sicherten sich weitere Preisgelder, indem sie erfolgreiche Angriffe auf MacOS und Safari demonstrierten. Der Mozilla-Browser Firefox fiel zudem Mitarbeitern von Chaitlin Security zum Opfer, die darüber hinaus auch einen Kernel-Bug in MacOS vorführten. Einen Angriff auf Firefox konnte der Hamburger Sicherheitsforscher Moritz Jodelt von Blue Frost Security nicht in der erlaubten Zeit abschließen.

Mehr zum Thema

Sicherheitsrisiken in öffentlichen WLANs vermeiden

Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.

Für heute sind Vorführungen zu zwei weiteren Sicherheitslücken in Microsoft Edge angekündigt. Zudem wollen Forscher zwei Guest-to-Host-Angriffe vorführen, bei denen Schadcode aus einer virtuellen Maschine heraus auf dem Host-Betriebssystem ausgeführt wird. Da dies als besonders schwierig angesehen wird, hat Trend Micros Zero Day Initiative für diese Art von Bugs ein Preisgeld von 100.000 Dollar ausgelobt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

5 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

5 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

7 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

1 Woche ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago