Amaya Toman White Hat Hacker hunn zwee Sécherheetsfehler am Safari Browser op enger Sécherheetskonferenz zu Vancouver entdeckt. Ee vun hinnen ass souguer fäeg seng Permissiounen ze tweaken op de Punkt fir komplett Kontroll vun Ärem Mac ze huelen. Déi éischt vun de Bugs, déi entdeckt goufen, konnt d'Sandkëscht verloossen - eng virtuell Sécherheetsmoossnam, déi Applikatiounen erlaabt nëmmen hir eegen a Systemdaten ze kréien.
D'Konkurrenz gouf vum Fluoroacetate Team gestart, deem seng Memberen Amat Cama a Richard Zhu waren. D'Team huet speziell de Safari Webbrowser gezielt, erfollegräich attackéiert an d'Sandkëscht verlooss. Déi ganz Operatioun huet bal déi ganz zougewisen Zäitlimit fir d'Team gedauert. De Code war nëmmen déi zweete Kéier erfollegräich, a weist de Käfer huet Team Fluoroacetate $ 55K a 5 Punkte fir de Master of Pwn Titel verdéngt.
Den zweete Feeler huet opgedeckt erlaabt Root- a Kernel Zougang op engem Mac. De Käfer gouf vum phoenhex & qwerty Team demonstréiert. Wärend hirer eegener Websäit surfen, hunn d'Teammemberen et fäerdeg bruecht e JIT-Bug ze aktivéieren, gefollegt vun enger Serie vun Aufgaben, déi zu engem komplette Systemattack féieren. Apple wousst iwwer ee vun de Bugs, awer d'Demonstratioun vun de Bugs huet d'Participanten $ 45 a 4 Punkte fir de Master of Pwn Titel verdéngt.
Den Organisateur vun der Konferenz ass Trend Micro ënner dem Banner vun hirer Zero Day Initiative (ZDI). Dëse Programm gouf erstallt fir Hacker ze encouragéieren privat Schwachstelle direkt un Firmen ze berichten anstatt se un déi falsch Leit ze verkafen. Finanziell Belounungen, Unerkennungen an Titele sollten d'Motivatioun fir Hacker sinn.
Interesséiert Parteien schécken déi néideg Informatioun direkt un den ZDI, deen déi néideg Donnéeën iwwer de Provider sammelt. Fuerscher, déi direkt vun der Initiativ beschäftegt sinn, iwwerpréiwen dann d'Reizungen a speziellen Testlaboratoiren an bidden den Entdecker dann eng Belounung. Et gëtt direkt no senger Genehmegung bezuelt. Am éischten Dag huet ZDI iwwer 240 Dollar un Experten ausbezuelt.
Safari ass e gemeinsame Entrée fir Hacker. Op der Konferenz vum leschte Joer, zum Beispill, gouf de Browser benotzt fir d'Kontroll vun der Touch Bar op engem MacBook Pro ze iwwerhuelen, an de selwechten Dag hunn d'Participanten op der Manifestatioun aner Browser-baséiert Attacke demonstréiert.
Source: Den ZDI
