Safari bị cản trở bởi hai lỗi bảo mật. Một cho phép bạn kiểm soát hoàn toàn máy Mac của mình

21. 3. 2019

Hacker White Hat đã phát hiện ra hai lỗ hổng bảo mật trong trình duyệt Safari tại một hội nghị bảo mật ở Vancouver. Một trong số họ thậm chí còn có thể điều chỉnh các quyền của nó đến mức kiểm soát hoàn toàn máy Mac của bạn. Lỗi đầu tiên được phát hiện là có thể thoát khỏi hộp cát - một biện pháp bảo mật ảo cho phép các ứng dụng chỉ truy cập dữ liệu hệ thống và của riêng chúng.

Cuộc thi được bắt đầu bởi đội Fluoroacetate, với các thành viên là Amat Cama và Richard Zhu. Nhóm đặc biệt nhắm mục tiêu vào trình duyệt web Safari, tấn công thành công và rời khỏi sandbox. Toàn bộ hoạt động chiếm gần như toàn bộ thời gian quy định cho đội. Mã chỉ thành công ở lần thứ hai và việc hiển thị lỗi đã mang lại cho Nhóm Fluoroacetate 55 nghìn đô la và 5 điểm để giành được danh hiệu Master of Pwn.

Lỗi thứ hai tiết lộ quyền truy cập root và kernel trên máy Mac. Lỗi này đã được nhóm phoenhex & qwerty chứng minh. Trong khi duyệt trang web của riêng họ, các thành viên trong nhóm đã kích hoạt được lỗi JIT, sau đó thực hiện một loạt nhiệm vụ dẫn đến một cuộc tấn công toàn hệ thống. Apple đã biết về một trong những lỗi này, nhưng việc chứng minh các lỗi đó đã mang lại cho người tham gia 45 USD và 4 điểm để giành danh hiệu Master of Pwn.

Đơn vị tổ chức hội nghị là Trend Micro dưới biểu ngữ của sáng kiến Zero Day (ZDI). Chương trình này được tạo ra để khuyến khích tin tặc báo cáo các lỗ hổng riêng tư trực tiếp cho các công ty thay vì bán chúng cho nhầm người. Phần thưởng tài chính, sự thừa nhận và danh hiệu sẽ trở thành động lực cho tin tặc.

Các bên quan tâm gửi thông tin cần thiết trực tiếp đến ZDI, nơi thu thập dữ liệu cần thiết về nhà cung cấp. Sau đó, các nhà nghiên cứu được sáng kiến này trực tiếp tuyển dụng sẽ kiểm tra các tác nhân kích thích trong các phòng thí nghiệm thử nghiệm đặc biệt và sau đó trao phần thưởng cho người phát hiện ra. Nó được thanh toán ngay sau khi được phê duyệt. Trong ngày đầu tiên, ZDI đã trả hơn 240 đô la cho các chuyên gia.

Safari là điểm vào phổ biến của tin tặc. Ví dụ, tại hội nghị năm ngoái, trình duyệt đã được sử dụng để kiểm soát Touch Bar trên MacBook Pro và cùng ngày, những người tham dự sự kiện đã trình diễn các cuộc tấn công dựa trên trình duyệt khác.

Nguồn: ZDI

chủ đề: hoạt động, của hacker, săn, MacBook Pro, chạm, Macbook, chương trình, Đăng kí, Apple

Thảo luận về bài viết

Tên của bạn

Bình luận của bạn

Bằng cách điền vào dữ liệu trên, tôi xác nhận rằng công ty TEXT FACTORY s.r.o., văn phòng đăng ký tại Brno, Durďákova 336/29, Černá Pole, mã ZIP: 613 00, số ID: 06157831, đã đăng ký tại Tòa án khu vực ở Brno, khu C , chèn 100399, sẽ xử lý dữ liệu cá nhân của tôi được cung cấp trong mẫu đăng ký do tôi điền dựa trên lợi ích hợp pháp của TEXT FACTORY s.r.o. theo Điều 6 đoạn 1 thư f) GDPR và thực hiện các nghĩa vụ pháp lý (Điều 6, đoạn 1, thư c) GDPR), vì các mục đích sau: sự cần thiết đảm bảo quyền của khách truy cập vào các trang web do TEXT FACTORY s.r.o. điều hành để đóng góp tích cực cho các bài báo đã xuất bản hoặc trong cuộc thảo luận diễn đàn và thực hiện các quyền của TEXT FACTORY s.r.o. với tư cách là quản trị viên của các diễn đàn thảo luận này. Thông tin thêm về việc xử lý dữ liệu cá nhân và quyền có thể được tìm thấy trong Bài học về bảo vệ dữ liệu cá nhân. toàn bộ văn bản

Có liên quan