Хакеры White Hat выявілі два недахопы бяспекі ў браўзеры Safari на канферэнцыі па бяспецы ў Ванкуверы. Адзін з іх можа нават наладзіць свае дазволы так, каб атрымаць поўны кантроль над вашым Mac. Першая з выяўленых памылак змагла пакінуць пясочніцу - віртуальную меру бяспекі, якая дазваляе прыкладанням атрымліваць доступ толькі да сваіх і сістэмных дадзеных.
Спаборніцтвы распачала каманда Fluoroacetate, членамі якой былі Амат Кама і Рычард Чжу. Каманда спецыяльна нацэлілася на вэб-браўзер Safari, паспяхова атакавала яго і пакінула пясочніцу. Уся аперацыя заняла амаль увесь адведзены камандзе час. Код быў паспяховым толькі з другога разу, і дэманстрацыя памылкі прынесла камандзе Fluoroacetate 55 тысяч долараў і 5 ачкоў да звання Master of Pwn.
Другая памылка паказала, што дазволены каранёвы доступ і доступ да ядра на Mac. Памылка была прадэманстравана камандай phoenhex & qwerty. Падчас прагляду ўласнага вэб-сайта членам каманды ўдалося актываваць памылку JIT, за якой рушыў услед шэраг задач, якія прывялі да поўнай сістэмнай атакі. Apple ведала аб адной з памылак, але дэманстрацыя памылак прынесла ўдзельнікам 45 4 долараў і XNUMX балы да звання Master of Pwn.
Арганізатарам канферэнцыі выступае Trend Micro пад эгідай сваёй ініцыятывы Zero Day (ZDI). Гэтая праграма была створана, каб заахвоціць хакераў прыватна паведамляць аб уразлівасцях непасрэдна кампаніям, а не прадаваць іх не тым людзям. Матывацыяй для хакераў павінны стаць фінансавыя ўзнагароды, падзякі і званні.
Зацікаўленыя бакі адпраўляюць неабходную інфармацыю непасрэдна ў ZDI, які збірае неабходныя дадзеныя аб пастаўшчыку. Даследчыкі, непасрэдна занятыя ініцыятывай, правераць раздражняльнікі ў спецыяльных выпрабавальных лабараторыях, а потым прапануюць першаадкрывальніку ўзнагароду. Яна выплачваецца адразу пасля яе зацвярджэння. За першыя суткі ZDI выплаціў экспертам больш за 240 тысяч долараў.
Safari - звычайная кропка ўваходу для хакераў. На леташняй канферэнцыі, напрыклад, браўзер выкарыстоўваўся для кантролю над Touch Bar на MacBook Pro, і ў той жа дзень удзельнікі прадэманстравалі іншыя атакі на аснове браўзера.
крыніца: ZDI