Amaya Toman Os piratas informáticos de White Hat descubriron dous fallos de seguridade no navegador Safari nunha conferencia de seguridade en Vancouver. Un deles mesmo é capaz de axustar os seus permisos ata o punto de tomar o control total do seu Mac. O primeiro dos erros descubertos foi capaz de saír do sandbox, unha medida de seguridade virtual que permite ás aplicacións acceder só aos datos propios e do sistema.
A competición foi iniciada polo equipo de Fluoroacetato, cuxos membros foron Amat Cama e Richard Zhu. O equipo dirixiuse especificamente ao navegador web Safari, atacouno con éxito e abandonou o sandbox. Toda a operación levou case todo o tempo previsto para o equipo. O código só tivo éxito a segunda vez e, ao mostrar o erro, o equipo de fluoroacetato gañou 55 mil dólares e 5 puntos para o título de Master of Pwn.
O segundo erro revelou permitiu o acceso root e kernel nun Mac. O equipo phoenhex e qwerty demostrou o erro. Mentres navegaban polo seu propio sitio web, os membros do equipo conseguiron activar un erro JIT seguido dunha serie de tarefas que provocaron un ataque completo ao sistema. Apple sabía dun dos erros, pero demostrar os erros gañou aos participantes 45 dólares e 4 puntos para o título de Master of Pwn.
O organizador da conferencia é Trend Micro baixo o lema da súa iniciativa Zero Day (ZDI). Este programa foi creado para animar aos hackers a informar de forma privada as vulnerabilidades directamente ás empresas en lugar de vendelas ás persoas equivocadas. As recompensas financeiras, os recoñecementos e os títulos deberían converterse na motivación dos hackers.
Os interesados envían a información necesaria directamente a ZDI, que recolle os datos necesarios sobre o provedor. Os investigadores empregados directamente pola iniciativa comprobarán entón os estímulos en laboratorios de probas especiais e despois ofrecerán unha recompensa ao descubridor. Págase inmediatamente despois da súa aprobación. Durante o primeiro día, ZDI pagou máis de 240 dólares a expertos.
Safari é un punto de entrada común para hackers. Na conferencia do ano pasado, por exemplo, utilizouse o navegador para tomar o control da Touch Bar nun MacBook Pro e, o mesmo día, os asistentes ao evento demostraron outros ataques baseados no navegador.
Fonte: O ZDI
