Die mittlerweile 17. März-Ausgabe des Hacker-Wettbewerbs Pwn2own fand auch in diesem Jahr wieder im kanadischen Vancouver statt. Traditionelle Hauptziele für die Hacker waren erneut Browser, Betriebssysteme, Virtualisierungslösungen und ein Tesla Model 3. Bereits im Januar hatte es erstmalig eine separate „Automotive“-Ausgabe in Tokio gegeben. Mozilla hat bereits Sicherheits-Updates für Firefox bereitgestellt.
Der erste Tag, 20. März, begann mit einem erfolgreichen Angriff auf Adobes Acrobat Reader. Weitere erfolgreiche Attacken galten Windows 11, Google Chrome, VMware Workstation, Ubuntu Linux, Oracle VirtualBox, Teslas Steuerzentrale ECU, Apple Safari und Microsoft Edge. Je ein Hackversuch gegen Sharepoint sowie VMware ESXi sind hingegen gescheitert.
Am zweiten und letzten Tag ging es munter weiter: Windows 11, VMware Workstation, VirtualBox, Firefox, Chrome und Edge, Ubuntu Linux und Container-Virtualisierung Docker kamen unter die Räder, zum Teil sogar mehrfach. Mit Valentina Palmiotti aus IBMs X-Force-Abteilung ist auch eine der wenigen Frauen in der Geschichte dieses Wettstreits zu einem erfolgreichen Abschluss (gegen Windows 11) gekommen.
ZDI
Insgesamt hat Trend Micros Zero Day Initiative (ZDI) als Veranstalter 1.132.500 US-Dollar an Preisgeldern vergeben können. Hinzu kommen stets die gehackten Geräte, in aller Regel Notebooks. Gesamtsieger („Master of Pwn“) ist Manfred Paul vom RedRocket-Team der Uni Bonn geworden, der bereits in früheren Jahren Erfolge beim Pwn2own erzielen konnte. In diesem Jahr hat er 25 Punkte und über 200.000 Dollar Preisgeld gewonnen. Die Titelverteidiger aus 2023, Team Synacktiv aus Frankreich, haben den zweiten Platz belegt und neben 200.000 Dollar bereits ihren zweiten Tesla gewonnen.
▶Die neuesten Sicherheits-Updates
Die Hersteller der betroffenen Produkte erhalten sofort nach jedem Hack-Erfolg alle Details zu den genutzten Sicherheitslücken – dieses Prinzip gehört von Anfang an zu diesem Wettbewerb. Sie haben nun 90 Tage Zeit, um die Schwachstellen zu beheben und Sicherheits-Updates bereitzustellen. Erst wenn ein Hersteller diese Frist nicht einhält, veröffentlicht ZDI Details zu den Sicherheitslücken.
Wie immer hat Mozilla am schnellsten reagiert, war auch vor Ort. Die Entwickler haben noch am 22. März, also schon einen Tag nach Manfred Pauls 100.000 Dollar Firefox-Hack, Sicherheitsheits-Updates bereitgestellt. Das Update auf Firefox 124.0.1 schließt zwei als kritisch eingestufte Sicherheitslücken (CVE-2024-29943, CVE-2024-29944) im Browser. Das Update auf Firefox ESR 115.9.1 beseitigt eine dieser Lücken. Das Tor Projekt hat auch flott reagiert und noch am selben Tag den auf Firefox ESR basierenden Tor Browser in der abgesicherten Version 13.0.13 veröffentlicht. Ein Chrome-Update dürfte in Kürze folgen. Andere Hersteller lassen sich erfahrungsgemäß etwas mehr Zeit.
Business, Online Services, Security Software and Services, Virtual Machines, Windows