Safari iki təhlükəsizlik qüsuru ilə üzləşir. Biri sizə Mac-a tam nəzarət etməyə imkan verir

21. 3. 2019

White Hat hakerləri Vankuverdə keçirilən təhlükəsizlik konfransında Safari brauzerində iki təhlükəsizlik qüsuru aşkar ediblər. Onlardan biri hətta Mac-a tam nəzarət etmək üçün icazələrini dəyişdirə bilir. Aşkar edilmiş səhvlərdən birincisi, tətbiqlərə yalnız öz və sistem məlumatlarına daxil olmağa imkan verən virtual təhlükəsizlik tədbiri olan qum qutusunu tərk edə bildi.

Yarışa üzvləri Amat Cama və Riçard Zhu olan Fluoroasetat komandası başladı. Komanda xüsusi olaraq Safari veb-brauzerini hədəf aldı, ona uğurla hücum etdi və sandboxdan çıxdı. Bütün əməliyyat, demək olar ki, komanda üçün ayrılmış bütün vaxt limitini çəkdi. Kod yalnız ikinci dəfə uğurlu oldu və səhvi göstərmək Team Fluoroacetate-ə 55K dollar və Master of Pwn tituluna 5 xal qazandırdı.

İkinci səhv Mac-da kök və nüvəyə girişə icazə verdi. Səhv phoenhex & qwerty komandası tərəfindən nümayiş etdirildi. Öz veb-saytlarına baxarkən, komanda üzvləri tam sistem hücumuna səbəb olan bir sıra tapşırıqların ardınca JIT səhvini aktivləşdirməyi bacardılar. Apple səhvlərdən biri haqqında bilirdi, lakin səhvləri nümayiş etdirmək iştirakçılara 45 dollar və Master of Pwn tituluna doğru 4 xal qazandırdı.

Konfransın təşkilatçısı “Zero Day” təşəbbüsünün (ZDI) bayrağı altında Trend Micro şirkətidir. Bu proqram hakerləri zəiflikləri yanlış insanlara satmaq əvəzinə birbaşa şirkətlərə özəl şəkildə bildirməyə təşviq etmək üçün yaradılmışdır. Maliyyə mükafatları, təşəkkürlər və titullar hakerlər üçün motivasiya olmalıdır.

Maraqlanan tərəflər lazımi məlumatları birbaşa provayder haqqında lazımi məlumatları toplayan ZDI-yə göndərirlər. Təşəbbüslə birbaşa işləyən tədqiqatçılar daha sonra xüsusi sınaq laboratoriyalarında stimulları yoxlayacaq və kəşf edənə mükafat təklif edəcəklər. Təsdiq edildikdən dərhal sonra ödənilir. İlk gün ərzində ZDI ekspertlərə 240 dollardan çox pul ödəyib.

Safari hakerlər üçün ümumi giriş nöqtəsidir. Məsələn, ötən ilki konfransda brauzer MacBook Pro-da Touch Bar-a nəzarət etmək üçün istifadə edilmişdi və həmin gün tədbirdə iştirak edənlər digər brauzer əsaslı hücumları nümayiş etdirdilər.

Mənbə: ZDI

Mövzular: əməliyyat, hacker, safari, MacBook Pro, toxunmaq, Macbook, proqram, Tətbiq, alma

Məqalənin müzakirəsi

Adınız

Sizin şərhiniz

Yuxarıdakı məlumatları doldurmaqla, mən təsdiq edirəm ki, TEXT FACTORY s.r.o., Brno şəhərində qeydiyyatda olan ofis, Durďákova 336/29, Černá Pole, Poçt kodu: 613 00, ID nömrəsi: 06157831, Brno Regional Məhkəməsində qeydiyyatdan keçmişdir, C bölməsi , 100399-u daxil edin, 6-cı maddənin 1-ci bəndinə uyğun olaraq TEXT FACTORY s.r.o.-nun qanuni maraqları əsasında mənim tərəfimdən doldurulmuş qeydiyyat formasında təqdim olunan şəxsi məlumatlarımı emal edəcək. f) GDPR və qanuni öhdəlikləri yerinə yetirmək üçün (Maddə 6, 1, c) GDPR), aşağıdakı məqsədlər üçün: TEXT FACTORY s.r.o. tərəfindən idarə olunan veb-saytların ziyarətçilərinə dərc edilmiş məqalələrə və ya müzakirələrə fəal töhfə vermək üçün icazənin təmin edilməsi zərurəti forumlar və bu müzakirə forumlarının administratoru kimi TEXT FACTORY s.r.o.-nun hüquqlarını həyata keçirmək. Şəxsi məlumatların və hüquqların emalı haqqında ətraflı məlumatı burada tapa bilərsiniz Fərdi məlumatların qorunması üzrə dərslər. bütün mətn

Əlaqədar