991263

Hackerwettbewerb mit alter Sicherheitslücke gewonnen

22.04.2008 | 10:45 Uhr |

Der "PWN2OWN"-Wettbewerb fordert Hacker dazu auf, unauthorisierte Software auf einem Windows-, Linux oder Mac-Rechner mittels zuvor unbekannter Sicherheitslücken zu installieren. Jetzt kam heraus: Der Gewinner benutzte eine seit langem öffentlich bekannte Lücke.

Charlie Miller hackte innerhalb von wenigen Minuten ein Macbook Air. Das brachte ihm den Sieg in einem Hackerwettbewerb ein und damit 10.000 Dollar und ein Macbook als Siegprämie. Jetzt wurde bekannt: Miller nutzte eine alte Lücke. Die Open-Source-Bibliothek PCRE, die beispielsweise vom Apache Webserver, der Scriptsprache PHP und auch Safari genutzt wird, hatte eine altbekannte Lücke.

Der Sicherheitsforscher Chris Evans hatte die Lücke bereits im November 2007 gefunden und öffentlich dokumentiert. Zu diesem Zeitpunkt hatten die Programmierer der PCRE die Lücke längst beseitigt, in Safari wurde jedoch bis letzter Woche die alte Version der Bibliothek verwendet. Eine alte Sicherheitslücke zu verwenden, widerspricht zwar den Regeln des Hackerwettbewerbs, die Organisatoren sprechen ihm aber dennoch den Preis zu: Zu zeigen, dass Apple die Programmbibliotheken nicht auf dem neusten Stand hält, sei genug, um den Preis zu verdienen. Gegenüber PC World rechtfertigte sich Miller und sagte, die Lücke unabhängig von Chris Evans selbst gefunden zu haben.

Bereits zuvor hat er Apple auf die veralteten Open-Source-Bestandteile aufmerksam gemacht und hielt sogar einen Vortrag auf einer Sicherheitskonferenz, bei dem er über die oft veralteten Ressourcen berichtete. "Es ist ein Schandfleck für Apples Sicherheitsteam, aber es ist ein verbreitetes Problem", sagte PWN2OWN-Organisator Dragos Rui.

0 Kommentare zu diesem Artikel
991263