Amaya Toman Ang mga hacker sa White Hat nakadiskubre sa duha ka mga sayup sa seguridad sa Safari browser sa usa ka komperensya sa seguridad sa Vancouver. Ang usa kanila makahimo pa gani sa pag-tweak sa mga permiso niini ngadto sa punto nga hingpit nga makontrol ang imong Mac. Ang una sa mga bug nga nadiskobrehan nakahimo sa pagbiya sa sandbox - usa ka virtual nga sukod sa seguridad nga nagtugot sa mga aplikasyon sa pag-access lamang sa ilang kaugalingon ug sa data sa sistema.
Ang kompetisyon gisugdan sa Fluoroacetate team, kansang mga miyembro mao sila si Amat Cama ug Richard Zhu. Partikular nga gipunting sa team ang Safari web browser, malampuson nga giatake kini ug gibiyaan ang sandbox. Ang tibuok nga operasyon mikuha sa halos tibuok nga gitakdang limitasyon sa panahon alang sa team. Ang code nagmalampuson lamang sa ikaduhang higayon, ug ang pagpakita sa bug nakakuha sa Team Fluoroacetate $55K ug 5 puntos ngadto sa Master of Pwn nga titulo.
Ang ikaduha nga bug nga gipadayag nagtugot sa pag-access sa gamut ug kernel sa usa ka Mac. Gipakita ang bug sa phoenhex & qwerty team. Samtang nag-browse sa ilang kaugalingon nga website, ang mga miyembro sa team nakahimo sa pagpaaktibo sa usa ka JIT bug nga gisundan sa usa ka serye sa mga buluhaton nga nagdala sa usa ka bug-os nga pag-atake sa sistema. Nahibal-an sa Apple ang bahin sa usa sa mga bug, apan ang pagpakita sa mga bug nakakuha mga partisipante $45 ug 4 puntos sa titulo sa Master of Pwn.
Ang tig-organisar sa komperensya mao ang Trend Micro ubos sa bandila sa Zero Day initiative (ZDI). Kini nga programa gimugna aron sa pagdasig sa mga hacker nga pribado nga magreport sa mga kahuyangan direkta ngadto sa mga kompanya imbes nga ibaligya kini ngadto sa sayop nga mga tawo. Ang mga ganti sa pinansya, pag-ila ug titulo kinahanglan mao ang pagdasig sa mga hacker.
Ang mga interesado nga partido nagpadala sa gikinahanglan nga impormasyon direkta ngadto sa ZDI, nga nagkolekta sa gikinahanglan nga datos mahitungod sa provider. Ang mga tigdukiduki nga direkta nga nagtrabaho sa inisyatiba magsusi sa stimuli sa mga espesyal nga laboratoryo sa pagsulay ug dayon maghatag usa ka ganti sa nakadiskobre. Gibayran dayon kini pagkahuman sa pag-apruba niini. Sa unang adlaw, ang ZDI mibayad ug kapin sa 240 dolyares ngadto sa mga eksperto.
Ang Safari kay kasagarang entry point para sa mga hacker. Sa miaging tuig nga komperensya, pananglitan, ang browser gigamit aron makontrol ang Touch Bar sa usa ka MacBook Pro, ug sa parehas nga adlaw, ang mga nanambong sa kalihokan nagpakita sa ubang mga pag-atake nga nakabase sa browser.
Source: Ang ZDI
