Амая Томан Хакерите на White Hat откриха два пропуска в сигурността на браузъра Safari на конференция по сигурността във Ванкувър. Един от тях дори може да променя разрешенията си до степен да поеме пълен контрол над вашия Mac. Първият от откритите бъгове успя да напусне пясъчника - виртуална мярка за сигурност, която позволява на приложенията да имат достъп само до своите собствени и системни данни.
Начало на състезанието даде отборът Fluoroacetate, чиито членове бяха Amat Cama и Richard Zhu. Екипът специално се насочи към уеб браузъра Safari, успешно го атакува и напусна пясъчника. Цялата операция отне почти цялото определено време за екипа. Кодът беше успешен само втория път и показването на грешката спечели на Team Fluoroacetate $55K и 5 точки към титлата Master of Pwn.
Вторият бъг разкрива позволен root и достъп до ядрото на Mac. Грешката беше демонстрирана от екипа на phoenhex & qwerty. Докато разглеждаха собствения си уебсайт, членовете на екипа успяха да активират JIT грешка, последвана от поредица от задачи, водещи до пълна системна атака. Apple знаеше за един от бъговете, но демонстрирането на бъговете спечели на участниците $45 4 и XNUMX точки към титлата Master of Pwn.
Организатор на конференцията е Trend Micro под флага на инициативата Zero Day (ZDI). Тази програма е създадена, за да насърчи хакерите да докладват частно уязвимости директно на компаниите, вместо да ги продават на грешните хора. Финансовите награди, признанията и титлите трябва да бъдат мотивацията за хакерите.
Заинтересованите лица изпращат необходимата информация директно до ZDI, която събира необходимите данни за доставчика. След това изследователи, наети директно от инициативата, ще проверят стимулите в специални лаборатории за изпитване и след това ще предложат награда на откривателя. Изплаща се веднага след одобрението му. През първия ден ZDI изплати над 240 XNUMX долара на експерти.
Safari е обичайна входна точка за хакери. На миналогодишната конференция, например, браузърът беше използван, за да поеме контрола върху Touch Bar на MacBook Pro, а в същия ден присъстващите на събитието демонстрираха други атаки, базирани на браузър.
Източник: ZDI
