143448

MacBook-Hack: Sicherheitsloch in Quicktime und Safari

24.04.2007 | 08:46 Uhr |

Auf einer Sicherheitskonferenz konnte ein Teilnehmer den Preis für eine neue Sicherheitslücke in Mac OS X einstreichen. Die ausgenutzte Schwachstelle betrifft nicht nur den Web-Browser Safari, auch Firefox ist anfällig.

Sicherheitsfachleute trafen sich in der letzten Woche im kanadischen Vancouver zur Konferenz CanSecWest und diskutierten Entwicklungen auf dem Gebiet der IT-Sicherheit . Die Veranstalter hatten einen Preis für denjenigen ausgelobt, dem es gelang eines der zu diesem Zweck bereit gestellten Apple MacBook Pros zu hacken. Das Interesse schien zunächst gering, der Preis war wohl nicht attraktiv genug.

Erst als Tipping Point, die Sicherheitsabteilung des Netzwerkherstellers 3Com, noch 10.000 US-Dollar oben drauf legte, stieg das Interesse. Noch während des laufenden Wettbewerbs "PWN to Own" veröffentlichte Apple ein umfangreiches Paket mit Sicherheits-Updates , das die Veranstalter kurze Zeit später auf den Rechnern installierten. Wer also diese Updates analysierte, um daraus einen Exploit abzuleiten, hatte das Nachsehen.

Schließlich konnte Shane Macaulay den Preis erringen und einen der Apple-Rechner mit nach Hause nehmen. Er nutzte über den Web-Browser Safari eine bislang unbekannte Schwachstelle aus, die das Einschleusen von Code zulässt und erlangte so die Kontrolle über den Rechner. Dieses Sicherheitsloch hat Apple mit dem Sicherheits-Update 2007-004 nicht geschlossen, es besteht also weiterhin. Die von Tipping Point ausgesetzten 10.000 Dollar wird Macaulay allerdings nicht bekommen, denn er hatte mit Dino Dai Zovi, dem eigentlichen Entdecker der Schwachstelle, abgemacht den Preis untereinander aufzuteilen.

Dino Dai Zovi, der nicht an der Konferenz teilgenommen hatte, hat inzwischen bekannt gegeben, dass die ausgenutzte Sicherheitslücke nicht nur Safari betrifft, sondern auch Firefox - wahrscheinlich auch dessen Windows-Version. Zovi hat ein Java-Problem in Apples Quicktime entdeckt. Anwender, die Quicktime installiert haben, sollten daher Java im Browser abschalten.

0 Kommentare zu diesem Artikel
143448