Amaija Tomane White Hat hakeri drošības konferencē Vankūverā atklāja divus drošības trūkumus pārlūkprogrammā Safari. Viens no tiem pat spēj pielāgot savas atļaujas, lai pilnībā kontrolētu jūsu Mac datoru. Pirmā no atklātajām kļūdām varēja atstāt smilšu kasti - virtuālu drošības līdzekli, kas ļauj lietojumprogrammām piekļūt tikai saviem un sistēmas datiem.
Sacensības uzsāka komanda Fluoroacetate, kuras sastāvā bija Amat Cama un Richard Zhu. Komanda īpaši mērķēja uz Safari tīmekļa pārlūkprogrammu, veiksmīgi uzbruka tai un atstāja smilšu kasti. Visa operācija aizņēma gandrīz visu komandai atvēlēto laika limitu. Kods bija veiksmīgs tikai otro reizi, un, parādot kļūdu, Team Fluoroacetate nopelnīja $ 55 5 un XNUMX punktus pretī Master of Pwn titulam.
Otrā kļūda atklāja atļauto piekļuvi saknei un kodolam Mac datorā. Kļūdu demonstrēja phoenhex & qwerty komanda. Pārlūkojot savu vietni, komandas locekļiem izdevās aktivizēt JIT kļūdu, kam sekoja virkne uzdevumu, kas izraisīja pilnu sistēmas uzbrukumu. Apple zināja par vienu no kļūdām, taču, demonstrējot kļūdas, dalībnieki nopelnīja 45 4 USD un XNUMX punktus, lai iegūtu Master of Pwn titulu.
Konferences organizators ir Trend Micro ar savas Nulles dienas iniciatīvas (ZDI) karogu. Šī programma tika izveidota, lai mudinātu hakerus privāti ziņot par ievainojamībām tieši uzņēmumiem, nevis pārdot tās nepareizajiem cilvēkiem. Hakeru motivācijai vajadzētu būt finansiālai atlīdzībai, atzinībām un tituliem.
Ieinteresētās personas nosūta nepieciešamo informāciju tieši ZDI, kas apkopo nepieciešamos datus par pakalpojumu sniedzēju. Pētnieki, kas ir tieši nodarbināti iniciatīvā, pēc tam pārbaudīs stimulus īpašās testēšanas laboratorijās un pēc tam piedāvās atklājējam atlīdzību. To maksā uzreiz pēc apstiprināšanas. Pirmajā dienā ZDI ekspertiem izmaksāja vairāk nekā 240 XNUMX dolāru.
Safari ir izplatīts hakeru ieejas punkts. Piemēram, pagājušā gada konferencē pārlūkprogramma tika izmantota, lai pārņemtu MacBook Pro skārienjoslas vadību, un tajā pašā dienā pasākuma apmeklētāji demonstrēja citus uz pārlūkprogrammu balstītus uzbrukumus.
Avots: ZDI
