Amaya Toman A White Hat hackerei két biztonsági hibát fedeztek fel a Safari böngészőben egy vancouveri biztonsági konferencián. Egyikük még az engedélyeit is képes úgy módosítani, hogy teljesen átvegye az irányítást a Mac felett. A felfedezett hibák közül az első képes volt elhagyni a homokozót – ez egy virtuális biztonsági intézkedés, amely lehetővé teszi, hogy az alkalmazások csak a saját és a rendszeradataikhoz férhessenek hozzá.
A versenyen a Fluoroacetate csapat indult, melynek tagjai Amat Cama és Richard Zhu voltak. A csapat kifejezetten a Safari böngészőt vette célba, sikeresen megtámadta és elhagyta a homokozót. Az egész művelet szinte a teljes, a csapat számára kijelölt időkeretet igénybe vette. A kód csak másodszor volt sikeres, és a hiba kimutatásával a Team Fluoroacetate 55 5 dollárt és XNUMX pontot szerzett a Master of Pwn cím felé.
A második hiba feltárta a root és a kernel hozzáférést a Mac-en. A hibát a phoenhex & qwerty csapata mutatta be. A saját webhelyük böngészése közben a csapattagoknak sikerült aktiválniuk egy JIT-hibát, amit egy sor feladat követett, amely teljes rendszertámadáshoz vezetett. Az Apple tudott az egyik hibáról, de a hibák kimutatása 45 4 dollárt és XNUMX pontot szerzett a résztvevőknek a Master of Pwn címért.
A konferencia szervezője a Trend Micro a Zero Day kezdeményezésének (ZDI) zászlaja alatt. Ezt a programot azért hozták létre, hogy arra ösztönözze a hackereket, hogy privát módon jelentsék be a sebezhetőségeket közvetlenül a vállalatoknak, ahelyett, hogy rossz embereknek adnák el azokat. A pénzügyi jutalmaknak, elismeréseknek és címeknek kell motiválniuk a hackereket.
Az érdeklődők a szükséges információkat közvetlenül a ZDI-nek küldik meg, amely összegyűjti a szükséges adatokat a szolgáltatóról. A kezdeményezésben közvetlenül alkalmazott kutatók ezután speciális vizsgálólaboratóriumokban ellenőrzik az ingereket, majd jutalmat ajánlanak fel a felfedezőnek. Jóváhagyása után azonnal kifizetik. Az első nap során a ZDI több mint 240 XNUMX dollárt fizetett ki szakértőknek.
A Safari gyakori belépési pont a hackerek számára. A tavalyi konferencián például a böngészővel átvették az irányítást a MacBook Pro Touch Bar felett, és ugyanazon a napon a rendezvény résztvevői más böngésző alapú támadásokat is bemutattak.
Forrás: A ZDI
