Амайя Томан Хакери White Hat виявили два недоліки безпеки в браузері Safari на конференції з безпеки у Ванкувері. Один із них навіть може налаштувати свої дозволи так, щоб отримати повний контроль над вашим Mac. Перший із виявлених багів зміг покинути пісочницю — віртуальний захід безпеки, який дозволяє програмам отримувати доступ лише до своїх власних і системних даних.
Змагання розпочала команда Fluoroacetate, до складу якої входили Амат Кама та Річард Чжу. Команда спеціально націлилася на веб-браузер Safari, успішно атакувала його та залишила пісочницю. Вся операція зайняла майже весь відведений для команди час. Код був успішним лише з другого разу, і показ помилки приніс команді Fluoroacetate 55 тисяч доларів США та 5 балів до титулу Master of Pwn.
Друга помилка показала, що дозволено root-доступ і доступ до ядра на Mac. Помилка була продемонстрована командою phoenhex & qwerty. Під час перегляду власного веб-сайту членам команди вдалося активувати помилку JIT, після чого послідувала серія завдань, що призвело до повної атаки на систему. Apple знала про одну з помилок, але демонстрація помилок принесла учасникам 45 4 доларів США та XNUMX бали до звання Master of Pwn.
Організатором конференції є Trend Micro під прапором ініціативи Zero Day (ZDI). Цю програму було створено, щоб заохотити хакерів приватно повідомляти про вразливості безпосередньо компаніям, а не продавати їх не тим людям. Мотивацією для хакерів повинні бути фінансові винагороди, подяки та звання.
Зацікавлені сторони надсилають необхідну інформацію безпосередньо до ZDI, який збирає необхідні дані про постачальника. Дослідники, безпосередньо зайняті ініціативою, потім перевірять стимули в спеціальних випробувальних лабораторіях, а потім запропонують першовідкривачеві винагороду. Виплачується відразу після його затвердження. За першу добу ZDI виплатив експертам понад 240 тисяч доларів.
Safari — звичайна точка входу для хакерів. На минулорічній конференції, наприклад, браузер використовувався для контролю сенсорної панелі MacBook Pro, і в той же день учасники продемонстрували інші атаки на основі браузера.
Джерело: ЗДІ
