Pwn2Own 2017: Hacker-Wettbewerb deckt kritische Sicherheitslücken in macOS und Safari auf

Wenn einmal im Jahr der Hacker-Wettbewerb Pwn2Own im Rahmen der Sicherheitskonferenz CanSwecWest stattfindet, blicken die Softwarehersteller gespannt nach Vancouver: regelmäßig werden dort von findigen Programmierern die Sicherheitssysteme von Betriebssystemen, Web-Browsern und anderen Programmen überlistet. Allerdings nicht mit negativen Absichten, sondern um ihre Fähigkeiten zu demonstrieren und Preisgelder abzusahnen.

In dieser Woche ist es wieder soweit: Pwn2Own 2017 läuft und brachte bereits an den ersten zwei Tagen zahlreiche Ergebnisse hervor (Details dazu hier und hier). Beispielsweise wurden mehrere Sicherheitslücken in Safari und in macOS gezeigt, mit denen die Hacker vollen Zugriff über einen Mac erlangen konnten. In einem Fall wurde die Touch-Bar-Funktionsleiste der neuen MacBook-Pro-Generation gehackt und darauf eine Nachricht eingeblendet (vgl. eingebetteter Tweet).



Auch in Windows, Ubuntu, Flash Player, Acrobat Reader und Edge wurden etliche Sicherheitslücken demonstriert, mit denen Schadcode eingeschleust oder sogar ein System komplett übernommen werden kann. Die Voraussetzung für die Teilnahme an Pwn2Own: es dürfen ausschließlich bislang unbekannte Schwachstellen ausgenutzt werden, zudem muss ein Hack innerhalb einer vorgegebenen Zeitspanne erfolgen. Im Erfolgsfall winken den teilnehmenden Teams je Sicherheitslücke bis zu 80.000 US-Dollar an Preisgeld.

Für Anwender besteht keine unmittelbare Gefahr, denn die Details aller Schwachstellen werden unter Verschluss gehalten, bis sie behoben wurden – nur die Hersteller der betroffenen Produkte erhalten Zugriff darauf. Updates für die betroffene Software, die die Sicherheitslücken schließen, werden für die nähere Zukunft erwartet. Pwn2Own 2017 geht am heutigen Freitag zu Ende. Der Wettbewerb feiert in diesem Jahr sein zehnjähriges Jubiläum.