Pwn2Own 2019: Hacker demonstrieren kritische Lücken in Apple Safari, VirtualBox und VMware

Bereits am ersten Tag haben Teilnehmer des diesjährigen Hackerwettbewerb Pwn2Own, der heute im kanadischen Vancouver endet, Preisgelder in Höhe von 240.000 Dollar eingesammelt. Sie demonstrierten unter anderem kritische Schwachstellen im Apple-Browser Safari und den Virtualisierungsanwendungen VirtualBox und VMware. Am gestrigen zweiten Tag kamen zusätzliche 270.000 Dollar und neun bisher unbekannte Lücken hinzu.

Bereits zum Start des Wettbewerbs zeigten die Forscher Amat Cama und Richard Zhu einen Integer-Überlauf in Safari, der es ihnen ermöglichte, Schadcode außerhalb der Sandbox des Browsers auszuführen. Sie wurden mit 55 Dollar belohnt. Direkt danach griffen sie erfolgreich Oracles kostenlose Virtualisierungssoftware VirtualBox an, um auf dem Host den Taschenrechner zu starten. Das brachte ihnen weitere 35.000 Dollar ein.

Ein Mitarbeiter des Sicherheitsanbieters Star Labs kassierte kurz danach denselben Betrag. Auch er präsentierte eine Sicherheitslücke in VirtualBox, um Code auf dem Hypervisor auszuführen. Cama und Zhu sicherten sich mit einem Out-of-Bounds-Schreibfehler in VMware Workstation und einer weiteren Codeausführung auf dem Host-System weitere 70.000 Dollar.

Drei Forscher, die sich als Phoenhex und Qwerty Team bezeichnen, bildeten den Abschluss. Sie demonstrierten eine Exploit-Kette, um die vollständige Kontrolle über Safari und macOS zu erlangen. Da Apple einen Bug in der Kette bereits kannte, reduzierte sich ihr Preisgeld auf 45.000 Dollar.

Cama und Zhu wandten sich am zweiten Tag zuerst dem Mozilla-Browser Firefox zu. Mit einem JIT-Bug und einem Speicherfehler im Windows-Kernel kompromittierten sie das System vollständig – ein Besuch einer speziell gestalteten Website mit Firefox führte ohne weitere Interaktion mit einem Nutzer zu einer Remotecodeausführung mit System-Rechten. Die Prämie für diese Schwachstellen belief sich auf 50.000 Dollar.

Danach öffneten sie eine weitere präparierte Website im Microsoft-Browser Edge, und zwar innerhalb einer virtuellen Maschine in VMware Workstation. Am Ende dieser Präsentation standen eine Codeausführung auf dem Windows-Host und ein Preisgeld von 130.000 Dollar. Damit schraubten sie ihren Ertrag der ersten beiden Tage auf insgesamt 340.000 Dollar.

Im weiteren Verlauf des Wettbewerbs knackte der deutsche Sicherheitsforscher Niklas Baumstark (alias Phoenhex) ebenfalls die Sandbox des Mozilla-Browser Firefox, und zwar für 40.000 Dollar. 50.000 Dollar gingen an Arthur Gerkis von Exodus Intelligence. Er führte Schadcode außerhalb der Sandbox von Edge aus.

Am heutigen letzten Tag beschäftigen sich die Forscher mit dem Bereich Automotive. Zwei Teams, darunter auch Cama und Zhu, wollen jeweils ein Tesla Model 3 hacken.

Anja Schmoll-Trautmann

Share
Published by
Anja Schmoll-Trautmann
Tags: Browser Edge Firefox Safari Security Sicherheit Virtualsierung Zero-Day

Recent Posts

  • Allgemein

KI: Microsoft kündigt Investition von einer Milliarde Dollar in OpenAI an

Microsoft hat die Investition von einer Milliarde Dollar in das US-Start-up OpenAI angekündigt. Beide Unternehmen gehen eine exklusive mehrjährige Partnerschaft…

18 Stunden ago
  • Browser

Mozilla Firefox: Anwender sollen detaillierter über Tracking informiert werden

Mozilla entwickelt dafür ein Reporting-Tool. Es ist in der aktuellen Version von Firefox Nightly in einer Vorschau über about:protections verfügbar.

2 Wochen ago
  • Workspace

Google Chrome: neues Feature blockiert künftig ressourcenfressende Anzeigen

Chrome stuft derzeit Anzeigen als Belastung ein, sobald sie mehr als 0,1 Prozent der gesamten Netzwerkbandbreite des Browsers verbrauchen. Obergrenzen…

2 Wochen ago
  • Sicherheit
  • Sicherheitsmanagement

Cloudserver gibt Daten von Fortune-100-Unternehmen preis

Ein Spezialist für Datenintegration sicherte Amazon-S3-Buckets nicht ab. Sensible Firmendaten waren dadurch offen im Internet zugänglich. Auffindbar waren E-Mail-Backups, persönliche…

3 Wochen ago
  • Cloud

Microsoft kündigt Veröffentlichung von Hyper-V Server 2019 an

Microsoft hat die Veröffentlichung von Hyper-V Server 2019 angekündigt. Eigentlich gehört das Release zum Herbst-2018-Update für Window 10. Hyper-V Server…

1 Monat ago
  • Allgemein

Broadcom reduziert Umsatzprognose um 2 Milliarden Dollar

Broadcom geht davon aus, dass der Handelsstreit mit China sowie das Embargo gegen Huawei den Umsatz des Unternehmens in diesem…

1 Monat ago