Amaya Toman „White Hat“ įsilaužėliai Vankuveryje vykusioje saugumo konferencijoje aptiko du „Safari“ naršyklės saugumo trūkumus. Vienas iš jų netgi gali pakoreguoti savo leidimus taip, kad visiškai kontroliuotų jūsų „Mac“. Pirmoji iš aptiktų klaidų sugebėjo palikti smėlio dėžę – virtualią saugumo priemonę, leidžiančią programoms pasiekti tik savo ir sistemos duomenis.
Varžybas pradėjo Fluoroacetate komanda, kurios nariai buvo Amatas Cama ir Richardas Zhu. Komanda konkrečiai nusitaikė į Safari interneto naršyklę, sėkmingai ją užpuolė ir paliko smėlio dėžę. Visa operacija užtruko beveik visą komandai skirtą laiką. Kodas buvo sėkmingas tik antrą kartą, o klaidos rodymas uždirbo Team Fluoroacetate $55 5 ir XNUMX taškus į Master of Pwn titulą.
Antroji klaida atskleidė leistiną šakninę ir branduolio prieigą prie „Mac“. Klaidą pademonstravo phoenhex & qwerty komanda. Naršydami savo svetainę, komandos nariai sugebėjo suaktyvinti JIT klaidą, po kurios buvo atlikta daugybė užduočių, vedančių į visą sistemos ataką. „Apple“ žinojo apie vieną iš klaidų, tačiau demonstruodami klaidas dalyviai uždirbo 45 4 USD ir XNUMX taškus į „Master of Pwn“ titulą.
Konferencijos organizatorius yra „Trend Micro“ pagal savo iniciatyvą „Zero Day“ (ZDI). Ši programa buvo sukurta siekiant paskatinti įsilaužėlius privačiai pranešti apie pažeidžiamumą įmonėms, o ne parduoti juos netinkamiems žmonėms. Finansiniai apdovanojimai, padėkos ir titulai turėtų būti įsilaužėlių motyvacija.
Suinteresuotosios šalys reikiamą informaciją siunčia tiesiogiai ZDI, kuri surenka reikiamus duomenis apie teikėją. Mokslininkai, tiesiogiai įdarbinti iniciatyvoje, tada patikrins stimulus specialiose bandymų laboratorijose ir pasiūlys atradėjui atlygį. Jis sumokamas iš karto po jo patvirtinimo. Per pirmąją dieną ZDI ekspertams išmokėjo per 240 XNUMX dolerių.
„Safari“ yra įprastas įsilaužėlių įėjimo taškas. Pavyzdžiui, praėjusių metų konferencijoje naršyklė buvo naudojama „MacBook Pro“ jutiklinės juostos valdymui perimti, o tą pačią dieną renginio dalyviai demonstravo kitas naršykle pagrįstas atakas.
Šaltinis: ZDI
