ამაია ტომანი თეთრი ქუდის ჰაკერებმა ვანკუვერში უსაფრთხოების კონფერენციაზე Safari ბრაუზერში უსაფრთხოების ორი ხარვეზი აღმოაჩინეს. ერთ-ერთ მათგანს შეუძლია შეცვალოს მისი ნებართვები იმ დონემდე, რომ სრულად აკონტროლებდეს თქვენს Mac-ს. აღმოჩენილი შეცდომებიდან პირველმა შეძლო ქვიშის ყუთის დატოვება - ვირტუალური უსაფრთხოების ღონისძიება, რომელიც აპლიკაციებს მხოლოდ საკუთარ და სისტემის მონაცემებზე წვდომის საშუალებას აძლევს.
კონკურსი დაიწყო ფლუოროაცეტატის გუნდმა, რომლის წევრები იყვნენ ამატ კამა და რიჩარდ ჟუ. გუნდმა სპეციალურად დაუმიზნა Safari ბრაუზერს, წარმატებით შეუტია მას და დატოვა ქვიშის ყუთი. მთელმა ოპერაციამ გუნდს თითქმის მთელი გამოყოფილი დრო დასჭირდა. კოდი მხოლოდ მეორედ იყო წარმატებული და შეცდომის ჩვენებამ მიიღო გუნდმა ფლუოროაცეტატი $55K $ და 5 ქულა Master of Pwn-ის ტიტულისკენ.
მეორე შეცდომამ გამოავლინა დაშვებული root და ბირთვის წვდომა Mac-ზე. შეცდომა აჩვენა phoenhex & qwerty-ის გუნდმა. საკუთარი ვებსაიტის დათვალიერებისას, გუნდის წევრებმა მოახერხეს JIT ხარვეზის გააქტიურება, რასაც მოჰყვა მთელი რიგი ამოცანები, რომლებიც მიგვიყვანდნენ სისტემის სრულ შეტევამდე. Apple-მა იცოდა ერთ-ერთი შეცდომის შესახებ, მაგრამ შეცდომების დემონსტრირებამ მონაწილეებმა $45 და 4 ქულა გამოიმუშავეს Master of Pwn-ის ტიტულისთვის.
კონფერენციის ორგანიზატორია Trend Micro მისი Zero Day ინიციატივის (ZDI) ბანერით. ეს პროგრამა შეიქმნა იმისთვის, რომ წაახალისოს ჰაკერები, პირადად შეატყობინონ დაუცველობას პირდაპირ კომპანიებს, ნაცვლად იმისა, რომ მიყიდონ ისინი არასწორ ადამიანებზე. ფინანსური ჯილდოები, მადლიერებები და ტიტულები უნდა იყოს მოტივაცია ჰაკერებისთვის.
დაინტერესებული მხარეები აუცილებელ ინფორმაციას პირდაპირ აგზავნიან ZDI-ს, რომელიც აგროვებს საჭირო მონაცემებს პროვაიდერის შესახებ. მკვლევარები, რომლებიც უშუალოდ ინიციატივით არიან დასაქმებული, შემდეგ შეამოწმებენ სტიმულს სპეციალურ ტესტირების ლაბორატორიებში და შემდეგ შესთავაზებენ აღმომჩენს ჯილდოს. იგი გადახდილია მისი დამტკიცებისთანავე. პირველი დღის განმავლობაში ZDI-მ ექსპერტებს გადაუხადა 240 XNUMX დოლარზე მეტი.
Safari არის საერთო შესასვლელი წერტილი ჰაკერებისთვის. შარშანდელ კონფერენციაზე, მაგალითად, ბრაუზერი გამოიყენებოდა MacBook Pro-ზე სენსორული ზოლის გასაკონტროლებლად და იმავე დღეს დამსწრეებმა აჩვენეს ბრაუზერზე დაფუძნებული სხვა შეტევები.
წყარო: ZDI
