Xbox 360: Live-Hack zum CCC-Kongress war echt

Genaue Beschreibung bei Security Focus erschienen

Auf dem 23. "Chaos Communication Congress" (23C3) hat am 30. Dezember 2006 ein maskierter, wortloser Hacker kurz das Ausführen von eigenem Code auf der Xbox 360 demonstriert und versprochen, dass bald Linux und MacOS X auf der Konsole laufen würden. Ein Eintrag auf Security Focus hat nun den Hack bestätigt, allerdings wird es doch erstmal nichts mit neuen Betriebssystemen für die Xbox 360.

Artikel veröffentlicht am ,

In dem am 27. Februar 2007 bei Security Focus bzw. deren Bugtraq-Mailingliste unter dem Titel "Xbox 360 Hypervisor Privilege Escalation Vulnerability" veröffentlichten Eintrag beschreibt der weiterhin anonym bleibende Hacker die von ihm entdeckte und verwendete Sicherheitslücke. Wie es der Titel schon andeutet, wurde eine Schwäche im Hypervisor der Xbox 360 gefunden, mit der - nicht ohne einige Tricks und direkten Zugriff auf die Hardware - von Microsoft nicht autorisierte Software mit vollen Privilegien und vollem Hardware-Zugriff gestartet werden konnte. Der Hypervisor kontrolliert als zentraler Wächter den Zugriff auf den Speicher der Konsole, überprüft, ob Software autorisiert ist und kümmert sich um die Verschlüsselung sowie Entschlüsselung.

Stellenmarkt
  1. Team Manager (m/w/d) Storage & Backup Solutions
    OEDIV KG, Bielefeld
  2. DevOps Engineer (m/w/d) im Bereich Service Operations
    ASCon Systems GmbH, Stuttgart,Mainz,München
Detailsuche

Den ersten - erfolglosen - Versuch des Hackers, mit Microsoft Kontakt aufzunehmen, gab es laut Beschreibung bereits am 15. Dezember 2006. Am 3. Januar 2007, also kurz nach der ersten öffentlichen Live-Demonstration des Hacks in Berlin auf dem 23C3, reagierte dann Microsoft und erhielt alle nötigen Infos.

Sechs Tage später, am 9. Januar 2007, habe Microsoft dann einen Patch (Xbox-360-Kernel 4552) für die Xbox 360 veröffentlicht und damit die Sicherheitslücke im Hypervisor beseitigt. Microsofts Xbox-Team-Mitglied "Major Nelson" beschrieb das außer der Reihe über Xbox Live eingespielte Update am 9. Januar 2007 in seinem Blog unauffällig als "Es ist nichts Großes in diesem, es beseitigt nur einige Leistungs- und Stabilitätsprobleme".

Damit Nutzer sich nicht einfach eine ältere Firmware-Version aufspielen können, ließ Microsoft laut einer Xbox-Scene-Diskussion beim Firmware-Update auf die 4552 einen eFuse getauften Widerstand in der PowerPC-CPU der Xbox 360 durchbrennen - wie es auch im Bugtraq-Eintrag mit "Remove R6T3" empfohlen wird.

Golem Akademie
  1. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Vier-Halbtage-Workshop
    25.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Ältere Firmware-Version verweigern daraufhin den Dienst und die Konsole startet erst wieder ordentlich nach dem erneuten Einspielen der 4552. Bastler hätten zwar eine Möglichkeit, die eFuse-Funktion von IBMs CPU auszuschalten, dies hätte aber dann natürlich vor dem ersten Update auf die 4552-Firmware erfolgen müssen. Ein weiterer Weg wären vermutlich nur modifizierte ältere Firmware-Versionen. Wer davon träumt - aus welchen Gründen auch immer -, andere Betriebssysteme auf der Xbox 360 laufen zu lassen, muss also auf andere Möglichkeiten warten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


CeeKay 07. Mär 2007

Erst informieren, dann posten... Wer zocken will, spielt unter Windows mit BootCamp, oder...

Kutscher 01. Mär 2007

Und ich glaub kaum, dass MS sich da "erpressen" lässt, wenn irgendwer daher kommt und...

meta 28. Feb 2007

Doch, mit Support. >:-( Viele Firmen zahlen jede Menge Geld für Support (anstatt mal...

Suomynona 28. Feb 2007

"eFuses" in Hardware einzubauen um Sicherheitspatches dauerhaft in der Hardware zu...

978876 28. Feb 2007

Hört auf... Ich heule ja schon vor lachen... Jaja...Wortspiele.



Aktuell auf der Startseite von Golem.de
Kickstarter
Die Pibox ist ein Mini-NAS mit Raspberry Pi

Auf Basis des Raspberry Pi CM 4 entsteht die Pibox. Mittels Carrier-Platinen können daran zwei 2,5-Zoll-Laufwerke angeschlossen werden.

Kickstarter: Die Pibox ist ein Mini-NAS mit Raspberry Pi
Artikel
  1. Quartalsbericht: Apple erwartet große Probleme in den Lieferketten
    Quartalsbericht
    Apple erwartet große Probleme in den Lieferketten

    Apple meldet Rekordergebnisse und einen 12-Monats-Gewinn von fast 100 Milliarden US-Dollar, warnt jedoch vor Unterbrechungen der Lieferketten.

  2. Neuer Firmenname: Aus Facebook wird Meta
    Neuer Firmenname
    Aus Facebook wird Meta

    Facebook-Chef Mark Zuckerberg hat den Namen der neuen Dachgesellschaft seiner Dienste genannt. Dieser lehnt sich stark an das geplante Metaversum an.

  3. Quartalsbericht: Amazon kämpft mit höheren Kosten und weniger Wachstum
    Quartalsbericht
    Amazon kämpft mit höheren Kosten und weniger Wachstum

    Der neue Amazon-Vorstandschef sieht auch im vierten Quartal weniger Wachstum wegen Investitionen und Problemen in den Lieferketen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • WD Black SN750 1TB 89,90€ • Acer 27" FHD 165Hz 191,59€ • PS5 Digital + 2. Dualsense + 100€-Amazon-Gutschein mit o2-Vertrag sofort lieferbar • Kingston 1TB PCIe 69,90€ • GTA Trilogy Definitive 59,99€ • Alternate-Deals (u. a. Apacer 960GB SATA 82,90€) [Werbung]
    •  /