Categories: CloudVirtualisierung

Pwn2Own 2024: Hacker zeigen Docker-Escape

Am zweiten Tag von Pwn2Own 2024 ist es Teilnehmern erstmals im Rahmen des Hackerwettbewerbs gelungen, einen Docker Escape vorzuführen. Darüber hinaus wurden zeigten Hacker unter anderem weitere kritische Sicherheitslücken in Chrome, Edge und Firefox sowie in VirtualBox und VMware Workstation.

Den Docker Escape präsentierte das Team von Star Labs SG. Für ihren Angriff kombinierten die Forscher zwei Sicherheitslücken, darunter ein Use-after-free-Bug. Schließlich gelang es ihnen, Code außerhalb des Docker-Containers auszuführen, um eine Taschenrechner-App zu starten. Dafür erhielt das Team 60.000 Dollar.

Erfolgreiche Angriffe wurden auch auf Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Google Chrome und Microsoft Edge demonstriert. Microsoft muss nun drei weitere Lücken schließen, die eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. VirtualBox erlaubt indes erneut die Ausführung von beliebigem Code auf dem Host-System.

Mozilla hat zudem bereits ein außerplanmäßiges Sicherheitsupdate für Firefox 124 veröffentlicht. Es stopft die beiden bei Pwn2Own entdeckten kritischen Lücken, die eine Remotecodeausführung außerhalb der Browser-Sandbox erlauben. Dem Entdecker der Lücken, dem Forscher Manfred Paul, brachten die beiden Bugs weitere 100.000 Dollar ein und damit den Gesamtsieg des Wettbewerbs sowie eine Gesamtprämie von 202.500 Dollar.

Damit schüttete die Zero Day Initiative an zwei Tagen 1,132 Millionen Dollar aus. Das Geld verteilt sich auf insgesamt 29 zuvor unbekannte Sicherheitslücken. Hinzu kommen mehrere sogenannte Bug Collisions, also Schwachstellen, bei denen sich nach der Präsentation herausstellte, dass sie den jeweiligen Herstellern bereits bekannt waren.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

O2 und Telekom bauen Glasfaserkooperation aus

Beide Konzerne wollen die Zahl der Anschlüsse deutlich steigern. Die Öffnung des Telekomnetzes gilt ihnen…

14 Stunden ago

Cloud-Ausfälle: Wie oft sind Unternehmen betroffen?

Vier von fünf Betrieben in Deutschland nutzen Cloud Computing. 39 Prozent davon waren in den…

16 Stunden ago

iFLYTEK stellt Spark V4.0 auf dem MWC Shanghai vor: Führend bei der nächsten KI-Welle

Shanghai, July 2024. iFLYTEK hielt in Peking eine große Pressekonferenz ab, um den mit Spannung…

19 Stunden ago

Apple startet Beta von Karten im Web

Die Webversion unterstützt macOS, iPadOS (Chrome und Safari) und Windows (Chrome und Edge). Weitere Plattformen…

19 Stunden ago

Bundesverwaltung beschafft bis zu 300.000 Apple-Geräte

Auftragnehmer ist der Neckarsulmer IT-Dienstleister Bechtle. Die Rahmenvereinbarung gilt bis 2027 und hat einen Wert…

1 Tag ago

Windows 11: Juli-Sicherheitspatches verursachen Probleme mit Bitlocker

Windows-Clients und -Server starten unter Umständen nur bis zum BitLocker-Wiederherstellungsbildschirm. Betroffen sind alle unterstützten Versionen…

2 Tagen ago