Amaya Toman Les pirates informatiques de White Hat ont découvert deux failles de sécurité dans le navigateur Safari lors d'une conférence sur la sécurité à Vancouver. L'un d'eux est même capable de modifier ses autorisations au point de prendre le contrôle total de votre Mac. Le premier des bugs découverts a pu quitter le bac à sable - une mesure de sécurité virtuelle qui permet aux applications d'accéder uniquement à leurs propres données et à celles du système.
Le concours a été lancé par l'équipe Fluoroacétate, composée de Amat Cama et Richard Zhu. L’équipe a spécifiquement ciblé le navigateur Web Safari, l’a attaqué avec succès et a quitté le bac à sable. L'ensemble de l'opération a pris presque tout le temps imparti à l'équipe. Le code n'a réussi que la deuxième fois, et l'affichage du bug a valu à Team Fluoroacetate 55 5 $ et XNUMX points pour le titre Master of Pwn.
Le deuxième bug révélé permettait l'accès root et noyau sur un Mac. Le bug a été démontré par l'équipe phoenhex & qwerty. En parcourant leur propre site Web, les membres de l'équipe ont réussi à activer un bug JIT suivi d'une série de tâches menant à une attaque complète du système. Apple était au courant de l'un des bugs, mais la démonstration des bugs a rapporté aux participants 45 4 $ et XNUMX points pour le titre Master of Pwn.
L'organisateur de la conférence est Trend Micro sous la bannière de son initiative Zero Day (ZDI). Ce programme a été créé pour encourager les pirates informatiques à signaler les vulnérabilités en privé directement aux entreprises au lieu de les vendre aux mauvaises personnes. Les récompenses financières, les reconnaissances et les titres devraient motiver les pirates.
Les parties intéressées envoient les informations nécessaires directement à ZDI, qui collecte les données nécessaires sur le fournisseur. Les chercheurs employés directement par l'initiative vérifieront ensuite les stimuli dans des laboratoires d'essais spéciaux et offriront ensuite une récompense au découvreur. Il est payé immédiatement après son approbation. Le premier jour, ZDI a versé plus de 240 XNUMX dollars aux experts.
Safari est un point d'entrée courant pour les pirates. Lors de la conférence de l'année dernière, par exemple, le navigateur a été utilisé pour prendre le contrôle de la Touch Bar sur un MacBook Pro, et le même jour, les participants à l'événement ont démontré d'autres attaques basées sur le navigateur.
Source: Le ZDI
