Amaya Toman White Hat-krakers het twee sekuriteitsfoute in die Safari-blaaier by 'n sekuriteitskonferensie in Vancouver ontdek. Een van hulle kan selfs sy toestemmings aanpas tot die punt om volledige beheer oor jou Mac te neem. Die eerste van die foute wat ontdek is, kon die sandbox verlaat - 'n virtuele sekuriteitsmaatreël wat toepassings toelaat om slegs toegang tot hul eie en stelseldata te verkry.
Die kompetisie is begin deur die Fluoroasetaat-span, wie se lede Amat Cama en Richard Zhu was. Die span het spesifiek die Safari-webblaaier geteiken, dit suksesvol aangeval en die sandbox verlaat. Die hele operasie het byna die hele toegelate tydsbeperking vir die span geneem. Die kode was eers die tweede keer suksesvol, en om die fout te wys, het Team Fluoroacetate $55K verdien en 5 punte vir die Master of Pwn-titel.
Die tweede fout wat aan die lig gebring is, het wortel- en kerntoegang op 'n Mac toegelaat. Die fout is deur die phoenhex & qwerty-span gedemonstreer. Terwyl hulle op hul eie webwerf blaai, het spanlede daarin geslaag om 'n JIT-fout te aktiveer, gevolg deur 'n reeks take wat tot 'n volledige stelselaanval gelei het. Apple het geweet van een van die foute, maar om die foute te demonstreer, het deelnemers $45 4 verdien en XNUMX punte vir die Master of Pwn-titel.
Die organiseerder van die konferensie is Trend Micro onder die vaandel van sy Zero Day-inisiatief (ZDI). Hierdie program is geskep om kuberkrakers aan te moedig om kwesbaarhede privaat direk aan maatskappye te rapporteer in plaas daarvan om dit aan die verkeerde mense te verkoop. Finansiële belonings, erkennings en titels moet die motivering vir kuberkrakers wees.
Belangstellendes stuur die nodige inligting direk na ZDI, wat die nodige data oor die verskaffer insamel. Navorsers wat direk deur die inisiatief in diens geneem word, sal dan die stimuli in spesiale toetslaboratoriums nagaan en dan die ontdekker 'n beloning aanbied. Dit word onmiddellik na die goedkeuring daarvan betaal. Gedurende die eerste dag het ZDI meer as 240 XNUMX dollar aan kundiges uitbetaal.
Safari is 'n algemene toegangspunt vir kuberkrakers. By verlede jaar se konferensie is die blaaier byvoorbeeld gebruik om beheer oor die Touch Bar op 'n MacBook Pro te neem, en op dieselfde dag het deelnemers by die geleentheid ander blaaier-gebaseerde aanvalle gedemonstreer.
bron: Die ZDI
