Safari-Schwachstelle bringt Entdecker 65.000 Dollar Preisgeld ein

Auch in diesem Jahr findet im Rahmen der Sicherheitskonferenz CanSecWest in Vancouver der Hackerwettbewerb Pwn2Own statt. Gleich am ersten Tag konnte sich ein Teilnehmer aus Deutschland für einen erfolgreichen Angriff auf macOS ein Preisgeld in Höhe von 65.000 Dollar sichern.

Samuel Groß aus Karlsruhe gelang es, durch die Kombination von drei Angriffsvarianten, eine Schwachstelle in Safari für macOS auszunutzen, mit deren Hilfe er per Browser-Befehl Zugriff aus Systemdateien erhielt.

In seiner Demonstration öffnete Groß Apples Taschenrechner-App über den Webbrowser und brachte zudem noch eine „Erfolgsmeldung“ auf der Touch Bar des kompromittierten MacBook Pro zum Leuchten. Falls euch das bekannt vor kommt: Bereits im vergangenen Jahr hatte Groß mit einer ähnlichen Methode Erfolg und nutzte die Touch Bar damals ebenfalls zur Anzeige seines „pwned by“-Statements. Details zu den im Rahmen des Wettbewerbs aufgedeckten Sicherheitslücken werden den Herstellern zur Verfügung gestellt, sodass die Fehler zeitnah behoben werden können