Pwn2Own 2017 – 10. Geburtstag des Hack-Fests – Ubuntu Desktop gehackt

19 März 2017 Kein Kommentar Autor: Jürgen (jdo)
  • Bei Pwn2Own 2017 wurde wieder gehackt, was das Zeug hält. Interessante Exploits!
  • Telegram war nicht vom gleichen Bug wie What’s App betroffen
  • Raspberry Pi zieht am Commodore 64 in Sachen Verkaufszahlen vorbei
  • LibreELEC wird 1
  • Ausgabedatum von Full Throttle ist bekannt
  • Kona ist ein interessantes Survival-Spiel
  • Erster Blick auf das KDE Slimbook
  • Mozilla erklärt, warum WebAssembly schneller als asm.js ist

Pwn2Own 2017 – zehnter Geburtstag

Der Wettbewerb Pwn2Own hat wieder interessante Resultate hervorgebracht. Am ersten Tag von Pwn2Own 2017 konnten Adobe Reader, Microsoft Edge, Apples Safari und Ubuntu Desktop erfolgreich gehackt werden. Bei Ubuntu gelang es dem Team, den Taschenrechner als root auszuführen. Dazu benutzten sie einen Linux Kernel Heap Out-of-Bounds Access Bug (so, das sagt nun jeder 10x schnell!). Ein Versuch, Windows zu hacken, wurde zurückgezogen. Möglicherweise haben die kürzlichen Patches einen Strich durch die Rechnung gemacht. Ein weiterer Versuch, Microsoft Edge zu hacken, wurde ebenfalls abgesagt. Ein Angriff auf Google Chrome scheiterte.

Am ersten Tag wurden insgesamt 233.000 US-Dollar Preisgelder ausgezahlt und 45 Punkt für den Titel Master of Pwn vergeben. Den Hauptpreis des ersten Tages bei Pwn2Own 2017 konnte Tencent Security einstreichen. Dem Team gelang es, aus der Sandbox von Microsoft Edge auszubrechen. Dafür bekamen Sie 80.000 US-Dollar und zehn Punkte. In Führung nach dem ersten Tag war allerdings Chaitin Security Research Lab mit 14 Punkten.

Über den zweiten Tag finde ich nicht wirklich viel, aber die Resultate des dritten sind spannend.

Tag drei und der komplette Ausbruch

360 Security gelang es am dritten Tag, komplett aus einer virtuellen Maschine auszubrechen. Dazu wurden Security-Lücken in Microsoft Edge, dem Windows Kernel und VMware genutzt. Die Demonstration hat 105.000 US-Dollar und 27 „Master of Pwn“-Punkte eingebracht. Der Ausbruch hat gerade mal 90 Sekunden gedauert. Die Security-Experten machten aber keine Angaben darüber, wie lange sie an dem Exploit gebastelt haben.

Den Titel Master of Pwn konnte sich bei Pwm2Own 2017 360 Security mit 63 Punkten sichern. Es folgen Tencent Security – Team Sniper mit 60 Punkten und Chaitin Security Research Lab mit 26 Zählern.

Hier sind die weiteren Resultate von Pwn2OWn 2017 Tag Drei.

Telegram war nicht vom What’s App Bug betroffen

Die Entwickler von Telegram haben sich beschwert, dass Check Point alternative Fakten auf den Tisch gelegt hatte. Es geht um den Fehler in der Web-Schnittstelle von What’s App, mit der sich jemand Zugriff auf Dein Konto erschleichen konnte. Dazu musste er Dir lediglich ein Bild schicken. Es war an vielen Stellen zu lesen, dass Telegram vom selben Bug betroffen ist. Das sind aber alternative Fakten – es stimmt nicht.

Fakt ist, dass Telegram ebenfalls von einem Bug betroffen war, bei dem eine alternative Person Dein Konto übernehmen konnte. Nur war das nicht ganz so einfach:

  • Der Angrifer musste Dir ein Video schicken, das Du im Web Interface ansiehst.
  • Dann musstest Du mit der rechten Maustaste auf das Video klicken und
  • aus dem Menü auswählen, einen neuen Tab zu öffnen.

Genau in dieser Reihenfolge musste das geschehen und das Video musste laufen. Weiterhin hat das nur in Chrome und keinem alternativen Browser funktioniert. Anwender von Telegram für den Desktop und der App sind überhaupt nicht betroffen.

Die Entwickler von Telegram beschweren sich irgendwie zurecht. Check Point hat ihren Bericht zwar später korrigiert, aber irgendwie doch Schaden angerichtet.

Raspberry Pi schlägt Commodore 64 in Sachen Verkaufszahlen

Nun ist der Raspberry Pi auf dem Poduim der Computer, die sich am besten verkauft haben. Rang Drei belegt der Raspberry Pi nun und verdrängt damit den Commodore 64 oder C64. Über 12.5 Millionen Raspberry Pis sind binnen fünf Jahren verkauft worden. Das ist ordentlich. Es bleibt aber zu erwarten, dass sich der Raspberry Pi einige Zeit auf dem dritten Platz begnügen muss. Schließlich konkurriert er in dieser Kategorie mit Windows PCs und Apple Macs.

Außerdem hat Eben Upton verraten, dass sich der Raspberry Pi W Zero binnen der ersten vier Tage 100.000 mal verkauft hat. Interessant ist auch das nachfolgende Diagramm, welcher Pi sich prozentual wie gut verkauft hat. Wenig überraschend sind die dicken Brummer, also Raspberry Pi 3 und Raspberry Pi 2 vorne. Viele verwenden das Gerät wohl wie ich auch als Multimedia Center mit LibreELEC oder OSMC. Der Pi 3 macht fast ein Drittel aller Verkäufe aus. Wundert mich ehrlich gesagt auch nicht, da sich der Pi 3 von der Performance her bedingt schon als Desktop verwenden lässt. Ubuntu MATE für den Raspberry Pi läuft ganz gut und auch Raspbian mit Pixel ist ebenfalls nicht zu verachten.

Raspberry Pi: Verkaufs-Diagram (Quelle: raspberrypi.org)

Raspberry Pi: Verkaufs-Diagram (Quelle: raspberrypi.org)

Bei den Verkaufszahlen des C64 bezieht sich die Raspberry Pi Foundation auf die Analyse der Seriennummern. Anscheinend gibt es in Sachen Verkauf Diskrepanzen.

Verkaufszahlen des C64 (Quelle: Pagetable.com)

Verkaufszahlen des C64 (Quelle: Pagetable.com)

Eigentlich müsste der C128 auch mit in die Rechnung, oder? Schließlich sind der Raspberry Pi 2 und 3 ebenfalls Weiterentwicklungen. Aber egal, denn den dritten Platz wird sich der Pi so oder so holen – sollte es noch nicht ganz der Fall sein. Der Winzling wird weiterhin produziert und es werden noch viele Einheiten davon verkauft. Da bin ich mir sicher.

LibreELEC wird Eins

Happy Birthday, LibreELEC zum ersten Geburtstag! Viele wissen, dass LibreELEC aus dem Projekt OpenELEC hervorging. Vor gar nicht allzu langer Zeit ist erst LibreELEC 8 mit Kodi 17 Krypton erschienen, das hervorragend auf einem Raspberry Pi 3 läuft. Innerhalb eines Jahres kann LibreELEC zirka 178.000 aktive Installationen vorweisen. Das ist gar nicht schlecht, würde ich sagen. Sicherlich hilft, dass die SoCs günstig zu haben sind und sich damit sehr einfach ein Multimedia-System basteln lässt. Zur Feier des Tages wird bei LibreELEC nicht über Technik, sondern über Kuchen oder Muffins gesprochen.

LibreELEC wird 1: Estuary und Serien

LibreELEC wird 1: Estuary und Serien

Am Einfachsten installierst Du LibreELEC mit dem USB SD Creator. Mit Etcher geht es natürlich auch. Die erstere Lösung ist aber speziell für LibreELEC und mit Etcher lassen sich allerlei Abbilder auf USB-Sticks, SD-Karten und so weiter bannen.

Spiele und Linux

Am 18. April ist es so weit und das Spiel werde ich auf jeden Fall kaufen. Ich kenne die Biker Story eigentlich schon und habe sie bereits 1995 gespielt. Aber rein aus Nostalgiegründen mit neuem Anstrich werde ich mir Full Throttle (Vollgas und nicht Volltrottel) auf jeden Fall zulegen. Bei GOG kannst Du derzeit mit 20 Prozent Rabatt vorbestellen.

In Sachen Linux wird das Spiel laut GOG-Angaben offiziell auf Ubuntu 14.04 oder Ubuntu 16.04 unterstützt. Die Anforderungen an die Hardware sind extrem machbar (Intel Core 2 Duo 2.4 GHz oder AMD Athlon X2 2.8 GHz oder höher und 4GByte RAM). Full Throttle ist ein Adventure und wurde damals von LucasArts ausgegeben. Für das Remake ist Double Fine verantwortlich.

Kona ist veröffentlicht

Wer Survival-Spiele mag, den interessiert vielleicht Kona. Die Bewertungen bei Steam sind sehr positiv. Du befindest Dich in Nordkanada und wir schreiben das Jahr 1970. Ein starker Schneesturm spielt sich über dem Atâmipêk-See ab. Du als Privatdetektiv musst das Dorf unter die Lupe nehmen und natürlich überleben.

Als empfohlene Ausstattung für Linux sind Ubuntu 12.04 oder höher oder SteamOS angegeben, als Prozessor ein i5 mit mindestens 2,5 GHz und als Grafikkarte eine GeForce GTX 660 oder ATI Radeon 7850. Bei Steam kannst Du Kona erwerben.

Kurz notiert

Der Orange Pi bekommt einen App Store. Shenzhen Xunlong Software und Canonical haben daran gemeinsam gearbeitet. Entwickler können im App Store ihre Anwendungen in Form von Snaps der Community zur Verfügung stellen.

Fedora 26 Alpha verspätet sich mindestens eine Woche. Schuld sind spät entdeckte Blocker-Bugs.

LibreOffice 5.3.1 ist die erste Wartungs-Version der kostenlosen Office Suite.

Wer wissen möchte, warum WebAssembly schneller als asm.js ist, der kann sich diesen detaillierten Artikel eines Mozilla-Entwicklers durchlesen. Nur in Sachen CPU sehen die Entwickler nicht selten einen Geschwindigkeitszuwachs von fünf Prozent. Weiterhin lässt sich bei WebAssembly die Performance genauer voraussagen.

Die Entwickler von Linux Mint haben einen Blick auf die MintBox Mini Pro und einen Airtop geworfen. Das sind schon sehr nette Stücke, die man gerne in der Sammlung hätte. Ganz günstig ist der Spaß aber nicht.

Unboxing nennt sich der Sport, bei dem Dinge ausgepackt werden. In diesem Fall ist es das erste KDE Slimbook. Es ist das erste Modell aus der Produktionslinie.

Weiterhin ist noch ein Video aufgetaucht, das MATE 1.18 auf einem Deaily Build von Ubuntu MATE 17.04 zeigt.

Nette Pi-Konstellation

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten