Amaya Toman Wadukuzi wa Kofia Nyeupe waligundua dosari mbili za usalama katika kivinjari cha Safari kwenye mkutano wa usalama huko Vancouver. Mmoja wao anaweza hata kurekebisha ruhusa zake hadi kufikia hatua ya kuchukua udhibiti kamili wa Mac yako. Hitilafu za kwanza zilizogunduliwa ziliweza kuondoka kwenye kisanduku cha mchanga - kipimo cha usalama ambacho huruhusu programu kufikia data zao na za mfumo pekee.
Mashindano hayo yalianzishwa na timu ya Fluoroacetate, ambayo washiriki wake walikuwa Amat Cama na Richard Zhu. Timu ililenga kivinjari cha wavuti cha Safari, na kukishambulia kwa mafanikio na kuondoka kwenye sanduku la mchanga. Operesheni nzima ilichukua takriban muda wote uliowekwa kwa timu. Nambari hii ilifanikiwa mara ya pili pekee, na kuonyesha hitilafu ilipata Timu ya Fluoroacetate $55K na pointi 5 kuelekea taji la Master of Pwn.
Mdudu wa pili alifunua ufikiaji unaoruhusiwa wa mizizi na kernel kwenye Mac. Hitilafu ilionyeshwa na timu ya phoenhex & qwerty. Wakati wa kuvinjari tovuti yao wenyewe, washiriki wa timu waliweza kuwezesha hitilafu ya JIT ikifuatiwa na mfululizo wa kazi zilizopelekea mashambulizi kamili ya mfumo. Apple ilijua kuhusu mojawapo ya hitilafu hizo, lakini kuonyesha hitilafu hizo kulipata washiriki $45 na pointi 4 kuelekea taji la Master of Pwn.
Mratibu wa mkutano huo ni Trend Micro chini ya bendera ya mpango wake wa Siku ya Sifuri (ZDI). Mpango huu uliundwa ili kuwahimiza wadukuzi kuripoti udhaifu moja kwa moja kwa makampuni badala ya kuwauzia watu wasiofaa. Zawadi za kifedha, shukrani na vyeo vinapaswa kuwa motisha kwa wadukuzi.
Wahusika wanaovutiwa hutuma habari muhimu moja kwa moja kwa ZDI, ambayo hukusanya data muhimu kuhusu mtoa huduma. Watafiti walioajiriwa moja kwa moja na mpango huo kisha wataangalia vichochezi katika maabara maalum za upimaji na kisha kumpa mgunduzi zawadi. Inalipwa mara moja baada ya idhini yake. Katika siku ya kwanza, ZDI ililipa zaidi ya dola 240 kwa wataalam.
Safari ni sehemu ya kawaida ya kuingia kwa wadukuzi. Katika mkutano wa mwaka jana, kwa mfano, kivinjari kilitumiwa kuchukua udhibiti wa Touch Bar kwenye MacBook Pro, na siku hiyo hiyo, waliohudhuria tukio walionyesha mashambulizi mengine ya kivinjari.
Zdroj: Sehemu ya ZDI
