Амая Томан Ванкувердеги коопсуздук конференциясында White Hat хакерлери Safari браузеринде эки коопсуздук кемчилигин табышты. Алардын бири, ал тургай, сиздин Mac толугу менен көзөмөлгө алуу чекитине чейин анын уруксаттарын өзгөртүүгө жөндөмдүү. Табылган мүчүлүштүктөрдүн биринчиси кум чөйрөсүн таштап кете алды – бул виртуалдык коопсуздук чарасы, бул колдонмолорго өздөрүнүн жана тутум маалыматтарына гана кирүүгө мүмкүнчүлүк берет.
Мелдешти Fluoroacetate командасы баштады, анын мүчөлөрү Амат Кама жана Ричард Жу. Команда атайын Safari веб-браузерин бутага алып, ага ийгиликтүү чабуул жасап, кумдуктан чыгып кетти. Бүткүл операция команда үчүн дээрлик бардык бөлүнгөн убакытты алды. Код экинчи жолу гана ийгиликтүү болду жана катаны көрсөтүү Fluoroacetate командасына 55 миң доллар жана Master of Pwn титулуна 5 упай алып келди.
Экинчи мүчүлүштүк Mac'та тамырга жана өзөккө кирүүгө уруксат берди. Мүчүлүштүктөрдү phoenhex & qwerty командасы көрсөткөн. Өзүнүн веб-сайттарын карап жатып, команда мүчөлөрү JIT мүчүлүштүктөрүн активдештирип, андан кийин системанын толук чабуулуна алып келген бир катар тапшырмаларды аткарышты. Apple мүчүлүштүктөрдүн бири жөнүндө билген, бирок мүчүлүштүктөрдү көрсөтүү катышуучуларга 45 4 доллар жана Master of Pwn титулуна XNUMX упай алып келген.
Конференциянын уюштуруучусу - Zero Day демилгесинин (ZDI) туусу астында Trend Micro. Бул программа хакерлердин кемчиликтерин туура эмес адамдарга сатуунун ордуна компанияларга түздөн-түз жеке билдирүүгө үндөш үчүн түзүлгөн. Каржылык сыйлыктар, ыраазычылыктар жана наамдар хакерлерге түрткү болушу керек.
Кызыкдар тараптар керектүү маалыматты түздөн-түз ZDIге жөнөтүшөт, ал провайдер жөнүндө керектүү маалыматтарды чогултат. Түздөн-түз демилге менен иштеген изилдөөчүлөр атайын сыноо лабораторияларында стимулдарды текшерип, андан соң ачканга сыйлык сунушташат. Ал бекитилгенден кийин дароо төлөнөт. Биринчи күнү ZDI эксперттерге 240 XNUMX доллардан ашык төлөп берди.
Safari хакерлер үчүн жалпы кирүү чекити болуп саналат. Былтыркы конференцияда, мисалы, браузер MacBook Proдогу Touch Barды башкаруу үчүн колдонулган жана ошол эле күнү иш-чаранын катышуучулары браузерге негизделген башка чабуулдарды көрсөтүштү.
Маалымат булагы: ZDI
