Die Zero Day Initiative hat die ersten Ergebnisse des jährlichen Hackerwettbewerbs Pwn2Own veröffentlicht. Am ersten Tag der Veranstaltung präsentierten Sicherheitsforscher insgesamt 19 zuvor unbekannte Sicherheitslücken. Dafür kassierten sie Preisgelder in Höhe von insgesamt 732.500 Dollar. Nun müssen unter anderem Hersteller wie Adobe, Google, Microsoft und VMware zum Teil hochkritische Schwachstellen in ihren Produkten beseitigen.
Zu Beginn des Wettbewerbs führte ein Mitarbeiter von Haboob SA beliebigen Code über eine Lücke in Adobe Reader aus, indem er zwei Anfälligkeiten in der PDF-Anwendung kombinierte. Das brachte ihm 50.000 Dollar ein. Auch das Devcore Research Team verknüpfte mehrere Fehler und erreichte damit eine nicht autorisierte Ausweitung von Benutzerrechten unter Windows 11 – und eine Belohnung von 30.000 Dollar.
Mit 60.000 Dollar war ein Exploit für einen Use-after-free-Bug in Google Chrome noch höher dotiert. Das Geld strich ein Mitarbeiter des Kaist Hacking Lab ein. Mehr als das Doppelte – 130.000 Dollar – kassierten zwei Mitarbeiter von Theori. Auch sie stellten eine Kette aus mehreren Schwachstellen zusammen, was es ihnen erlaubte, aus einer virtuellen Maschine heraus Code auf einem Host-System von VMware Workstation auszuführen.
Dasselbe gelang auch zwei Mitarbeitern von Reverse Tactics mit Oracle VirtualBox unter Windows. Den Code führten sie mit System-Rechten aus, was mit 90.000 Dollar belohnt wurde. Der höchste Betrag des Tages ging an das Synacktiv Team für das Knacken des CAN BUS eines Tesla Model 3. Sie durften sich aber nicht nur über 200.000 Dollar freuen, als Prämie gewannen sie auch einen neuen Tesla Model 3.
Im weiteren Verlauf des Tages wurden auf noch erfolgreiche Angriffe auf Ubuntu Linux, Apple Safari, Oracle Virtual Box, Google Chrome und Microsoft Edge vorgeführt. Für den heutigen zweiten Tag von Pwn2Own 2024 sind Präsentationen für Schwachstellen in Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Ubuntu Linux, Google Chrome, Docker Desktop und Microsoft Edge angekündigt.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.