Zum nunmehr 16. Mal findet die CanSecWest Sicherheitskonferenz in Vancouver statt. Als Gimmick dürfen sich Hacker auf dem Pwn2Own-Wettbewerb beweisen. OS X und Safari haben sich dabei schon am ersten Tag als löchrig erwiesen – aber andere Browser kommen auch nicht viel besser weg.
Wie der Sicherheitsdienstleister Trend Micro zusammenfassend von der Konferenz berichtet, ist es bereits mehreren Hackern gelungen, Administratoren-Rechte in OS X zu erlangen. Dabei wurden Lücken im System selbst und in Safari ausgenutzt. Beispielsweise hat JungHoon Lee (lokihardt) mit gezieltem Code Root-Rechte in Safari erlangen können. Dabei mussten vier neue (im Sinne von: bislang unbekannte und ungepatchte) Sicherheitskücken ausgenutzt werden. Eine wurde in Safari genutzt, drei andere im System. Dieses Kunststück hat ihm schon jetzt 60.000 Dollar Preisgeld eingebracht.
Weitere Sicherheitslücken erfolgreich genutzt
Auch die Gruppe Tencent Security Team Shield konnte mithilfe von Safari und einem „privilegierten Prozess“ einen Mac in seine Gewalt nehmen. Dafür gab es ein Preisgeld von 40.000 Dollar. Immerhin ist Apple nicht der einige Entwickler, der nachbessern sollte. Denn bei dem Wettbewerb wurden auch – wie hätte es anders sein sollen – Adobe Flash erfolgreich angegriffen. Zudem wurden Sicherheitslücken in Google Chrome und Microsoft Edge (unter Windows) aufgedeckt.
Der Pwn2Own-Wettbewerb trägt seinen Namen daher, weil es einen Modus gibt, in dem das Ziel ist, einen Rechner zu hacken. Dabei gibt es verschiedene Angriffspunkte, beispielsweise ohne Zutun des Anwenders oder indem der Anwender auf eine manipulierte Seite gelockt wird. Wer es als erster schafft, einen Rechner mit Administrator-Rechten zu übernehmen, darf den angegriffenen Rechner als Hauptpreis mit nach Hause nehmen.