Safari auf CanSec West erfolgreich gehackt

Wie im letzten Jahr hat der Sicherheitsexperte Charlie Miller auch dieses Jahr wieder auf der Sicherheits-Konferenz CanSecWest in Vancouver wieder den ersten Preis abgeräumt. Miller hatte dazu am zweiten Konferenztag auf einem Macbook erfolgreich eine Sicherheitslücke in Safari ausgenutzt und einen bösartigen Link aufgesetzt, der beim Anklicken durch den Anwender alle Sicherheitsmaßnahmen aushebelte und Miller volle Kontrolle über das Macbook gab.

Am ersten Tag der Konferenz durfte nur Software attackiert werden, die auf den Computern als Standard-Vorkonfiguration mitgeliefert wird. Am zweiten Tag wird diese Regel gelockert und die Konfigurationen für Exploit-Attacken durften mit Zusatztechnologien wie Flash, Java, .Net und Quicktime erweitert werden

Seinen ersten Einbruch in ein Macbook demonstrierte Miller im Pwn2Own-Wettbewerb, in dem er eine selbst entdeckte und vorher auf seinem Macbook getestete Sicherheitslücke attackierte. Der Wettbewerb am Mittwoch war innerhalb von wenigen Minuten beendet. Für jede demonstrierte Sicherheitslücke bekommt ein erfolgreicher Teilnehmer 5.000 US-Dollar Preisgeld. Miller belegte den ersten Platz und darf somit außerdem auch - wie nach seinem Sieg in CanSecWest - das Macbook behalten und erhält ironischerweise auch für zwölf Monate einen Applecare Protection Plan.

Ein weiterer Teilnehmer namens Nils offenbarte eine andere Sicherheitslücke in Safari. Dank dem Aufzeigen von Löchern in Firefox und Internet Explorer 8 durfte er schließlich 15.000 US-Dollar als Preisgelder entgegennehmen. Außer den Attacken auf Webbrowser von Safari bis Chrome werden die Teilnehmer auch auf Betriebssysteme von mobile Plattformen losgelassen, wie zum Beispiel iPhone, Blackberry, Android, Symbian von Nokia und Windows Mobile.

Tippingpoint, einer der Sponsoren der Konferenz, lässt alle erfolgreichen Teilnehmer einen Geheimhaltungsvertrag für die Sicherheitslücken unterzeichnen und reicht alle gefundenen Fehler zum Beheben bei den Herstellern ein.