Amaya Toman White Hat-hackere opdagede to sikkerhedsfejl i Safari-browseren på en sikkerhedskonference i Vancouver. En af dem er endda i stand til at justere sine tilladelser til det punkt, hvor den tager fuldstændig kontrol over din Mac. Den første af de opdagede fejl var i stand til at forlade sandkassen - en virtuel sikkerhedsforanstaltning, der tillader applikationer kun at få adgang til deres egne data og systemdata.
Konkurrencen blev startet af Fluoroacetate-teamet, hvis medlemmer var Amat Cama og Richard Zhu. Holdet målrettede specifikt Safari-webbrowseren, angreb den med succes og forlod sandkassen. Hele operationen tog næsten hele den tildelte tidsfrist for holdet. Koden lykkedes kun anden gang, og at vise fejlen gav Team Fluoroacetate $55K og 5 point til Master of Pwn-titlen.
Den anden fejl afslørede tillod root- og kerneadgang på en Mac. Fejlen blev demonstreret af phoenhex & qwerty-teamet. Mens de surfede på deres egen hjemmeside, lykkedes det teammedlemmer at udløse en JIT-fejl efterfulgt af en række opgaver, der førte til et komplet systemangreb. Apple kendte til en af fejlene, men at demonstrere fejlene gav deltagerne $45 og 4 point mod Master of Pwn-titlen.
Arrangøren af konferencen er Trend Micro under banneret af sit Zero Day-initiativ (ZDI). Dette program blev oprettet for at tilskynde hackere til privat at rapportere sårbarheder direkte til virksomheder i stedet for at sælge dem til de forkerte personer. Økonomiske belønninger, anerkendelser og titler bør blive motivationen for hackere.
Interesserede sender de nødvendige oplysninger direkte til ZDI, som indsamler de nødvendige data om udbyderen. Forskere, der er ansat direkte af initiativet, vil derefter kontrollere stimuli i særlige testlaboratorier og derefter tilbyde opdageren en belønning. Det betales umiddelbart efter dets godkendelse. I løbet af den første dag udbetalte ZDI over 240 dollars til eksperter.
Safari er et almindeligt indgangspunkt for hackere. Ved sidste års konference blev browseren for eksempel brugt til at tage kontrol over Touch Bar på en MacBook Pro, og samme dag demonstrerede deltagere ved arrangementet andre browserbaserede angreb.
kilde: ZDI
