\n English<\/a>.<\/p>\n
It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n
Bei der 33. Hackerkonferenz Def Con wurden mit den Pwnie-Awards die „Oscars“ der IT-Security verliehen. Matteo Rizzo, Kristoffer Janke, Josh Eads, Tavis Ormandy und Eduardo Vela Nava gewannen gleich zweimal: in den Kategorien „Bester Krypto-Bug“ und „Bester Desktop-Bug“. Sie fanden heraus, dass AMD seit sieben Jahren den Schl\u00fcssel aus der NIST-Dokumentation, der dort als Beispiel angegeben ist, in der Produktion benutzt hat.<\/p>\n
Ken Gannon erhielt einen Award f\u00fcr das Enth\u00fcllen der komplizierten Exploitkette, mit der man ein Samsung Galaxy S24 mit sieben Bugs zum Installieren eigener APKs bringt. Den Pwnie f\u00fcr die beste Privilegien-Eskalation gewannen die Hacker v4bel und qwerty_po f\u00fcr die Linux Kernel VSOCK Quadruple Race Condition. Die Sicherheitsforscher von Qualys haben ebenfalls zwei Pwnies gewonnen: in den Kategorien „Best RCE“ (Remote Code Execution) und „Epic Achievement“ f\u00fcr das Enth\u00fcllen von OpenSSH-Schwachstellen.<\/p>\n
Inwhan Chun, Isabella Siu und Riccardo Paccagnella bekamen den Pwnie f\u00fcr „Most Underhyped Research“ (etwa: am meisten unterbewertete Forschung). Der von ihnen entdeckte Bug „Scheduled Disclosure“ in den Energieverwaltungsalgorithmen moderner Intel-Prozessoren erm\u00f6glicht es, Power-Side-Channel-Angriffe in Remote-Timing-Angriffe umzuwandeln \u2013 und zwar effektiver als bisher und ohne Frequenz-Side-Channel-Leckage.<\/p>\n
Der Preis f\u00fcr den „Most Innovative“-Beitrag ging an Angelos Beitis. Er fand im Internet mehr als vier Millionen Server, die alten, nicht authentifizierten Tunnelverkehr wie IPIP, GRE, 6in4 oder 4in6 akzeptieren. Dadurch lassen sich Quell-IP-Adressen trivial f\u00e4lschen, Denial-of-Service-Angriffe durchf\u00fchren und sogar Zugriffe auf interne Unternehmensnetze erlangen.<\/p>\n
<\/p>\n <\/a><\/p>\n Das Pwnie-Team<\/p>\n \n (Bild:\u00a0Lukas Grunwald \/ heise online)\n <\/p>\n „Signal-Gruppen t\u00f6ten Truppen“<\/p>\n Au\u00dfer den Awards f\u00fcr Sicherheitsforscher gibt es auch ironisch gemeinte „Auszeichnungen“ f\u00fcr Firmen und Einzelpersonen. Den Negativ-Pwnie „Lamest Vendor Response“ (etwa: schw\u00e4chste Herstellerantwort) ging an die Linux-Kernelentwickler wegen der Sicherheitsl\u00fccke \u201cLinux kernel slab OOB write in hfsplus\u201d (CVE-2025-0927). Und der Pwnie „EPIC Fail“ ging an Mike Waltz f\u00fcr SignalGate genannte Signal-Gruppenchat-Aff\u00e4re der US-Regierung<\/a>. Das Pwnie-Team \u00fcberreichte ihm auch ein T-Shirt, das das Motiv eines Sicherheits-Awareness-Plakates aufgreift: „Signal Groups kill troops.“<\/p>\n<\/p>\n