Die Zero Day Initiative hat die ersten Ergebnisse des jährlichen Hackerwettbewerbs Pwn2Own veröffentlicht. Am ersten Tag der Veranstaltung präsentierten Sicherheitsforscher insgesamt 19 zuvor unbekannte Sicherheitslücken. Dafür kassierten sie Preisgelder in Höhe von insgesamt 732.500 Dollar. Nun müssen unter anderem Hersteller wie Adobe, Google, Microsoft und VMware zum Teil hochkritische Schwachstellen in ihren Produkten beseitigen.
Zu Beginn des Wettbewerbs führte ein Mitarbeiter von Haboob SA beliebigen Code über eine Lücke in Adobe Reader aus, indem er zwei Anfälligkeiten in der PDF-Anwendung kombinierte. Das brachte ihm 50.000 Dollar ein. Auch das Devcore Research Team verknüpfte mehrere Fehler und erreichte damit eine nicht autorisierte Ausweitung von Benutzerrechten unter Windows 11 – und eine Belohnung von 30.000 Dollar.
Mit 60.000 Dollar war ein Exploit für einen Use-after-free-Bug in Google Chrome noch höher dotiert. Das Geld strich ein Mitarbeiter des Kaist Hacking Lab ein. Mehr als das Doppelte – 130.000 Dollar – kassierten zwei Mitarbeiter von Theori. Auch sie stellten eine Kette aus mehreren Schwachstellen zusammen, was es ihnen erlaubte, aus einer virtuellen Maschine heraus Code auf einem Host-System von VMware Workstation auszuführen.
Dasselbe gelang auch zwei Mitarbeitern von Reverse Tactics mit Oracle VirtualBox unter Windows. Den Code führten sie mit System-Rechten aus, was mit 90.000 Dollar belohnt wurde. Der höchste Betrag des Tages ging an das Synacktiv Team für das Knacken des CAN BUS eines Tesla Model 3. Sie durften sich aber nicht nur über 200.000 Dollar freuen, als Prämie gewannen sie auch einen neuen Tesla Model 3.
Im weiteren Verlauf des Tages wurden auf noch erfolgreiche Angriffe auf Ubuntu Linux, Apple Safari, Oracle Virtual Box, Google Chrome und Microsoft Edge vorgeführt. Für den heutigen zweiten Tag von Pwn2Own 2024 sind Präsentationen für Schwachstellen in Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Ubuntu Linux, Google Chrome, Docker Desktop und Microsoft Edge angekündigt.
Als Geldgeber sind Apple, Microsoft und Nvidia im Gespräch. OpenAI sucht angeblich frisches Geld zum…
BSI veröffentlicht IT-Sicherheitskennzeichen für mobile Endgeräte. Wirtschaft und Zivilgesellschaft konnten Kriterien dafür mit bestimmen.
Laut Bitkom-Studie beläuft sich der Gesamtschaden auf rund 267 Milliarden Euro. China werde zum Standort…
Sie erlauben unter Umständen eine Remotecodeausführung. Updates stehen für Chrome für Windows, macOS, Linux und…
Apple hat auf der WWDC einige Neuerungen für das Gerätemanagement vorgestellt. Eine Einordnung von Surendiran…
Kaspersky ermittelt einen Anstieg der Anzahl der Attacken um 23 Prozent. Anfällige Treiber lassen sich…