Амая Томан White Hat хакерлері Ванкуверде өткен қауіпсіздік конференциясында Safari браузерінде екі қауіпсіздік ақауын анықтады. Олардың бірі тіпті Mac компьютеріңізді толық бақылауға алу үшін рұқсаттарын өзгерте алады. Табылған қателердің біріншісі құм жәшігінен шыға алды - қолданбаларға тек өздерінің және жүйелік деректеріне қол жеткізуге мүмкіндік беретін виртуалды қауіпсіздік шарасы.
Жарысты Фторацетат командасы бастады, оның мүшелері Амат Кама мен Ричард Жу болды. Команда арнайы Safari веб-шолғышын нысанаға алды, оған сәтті шабуыл жасады және құм жәшігін қалдырды. Бүкіл операция команда үшін барлық дерлік бөлінген уақытты алды. Код тек екінші рет сәтті болды және қатені көрсету Fluoroacetate командасына 55 мың доллар және Master of Pwn титулына 5 ұпай жинады.
Екінші қате Mac жүйесінде түбірге және ядроға кіруге рұқсат берді. Қатені phoenhex & qwerty командасы көрсетті. Өз веб-сайттарын шолу кезінде топ мүшелері толық жүйе шабуылына әкелетін бірқатар тапсырмалардан кейін JIT қатесін белсендіре алды. Apple қателердің бірі туралы білді, бірақ қателерді көрсету қатысушыларға 45 4 доллар және Master of Pwn титулына XNUMX ұпай берді.
Конференцияның ұйымдастырушысы - Zero Day (ZDI) бастамасының туы астында Trend Micro. Бұл бағдарлама хакерлерді осалдықтарды қате адамдарға сатудың орнына тікелей компанияларға жеке хабарлауға ынталандыру үшін жасалған. Қаржылық сыйақылар, алғыстар мен атақтар хакерлерге мотивация болуы керек.
Мүдделі тұлғалар қажетті ақпаратты тікелей ZDI-ге жібереді, ол провайдер туралы қажетті деректерді жинайды. Тікелей бастамамен жұмыс істейтін зерттеушілер арнайы сынақ зертханаларында ынталандыруды тексереді, содан кейін ашушыға сыйлық ұсынады. Ол бекітілгеннен кейін бірден төленеді. Бірінші күні ZDI сарапшыларға 240 XNUMX доллардан астам ақша төледі.
Safari - хакерлерге арналған ортақ кіру нүктесі. Өткен жылғы конференцияда, мысалы, браузер MacBook Pro құрылғысындағы сенсорлық тақтаны басқару үшін пайдаланылды және сол күні қатысушылар браузерге негізделген басқа шабуылдарды көрсетті.
Дерек көзі: ZDI
