Saugumo tyrinėtojas uždirba 100 000 USD už „Safari“ išnaudojimą Pwn2Own įsilaužimo konkurse

Kiekvienais metais „Zero Day Initiative“ rengia įsilaužimo konkursą „Pwn2Own“, kurio metu saugumo tyrinėtojai gali užsidirbti pinigų ieškodami rimtų pagrindinių platformų, tokių kaip „Windows“ ir „MacOS“, pažeidžiamumų.

Šis 2021 m. „Pwn2Own“ virtualus renginys prasidėjo anksčiau šią savaitę ir jame buvo 23 atskiri įsilaužimo bandymai 10 skirtingų produktų, įskaitant žiniatinklio naršykles, virtualizaciją, serverius ir kt. Tris dienas trunkantis romanas, trunkantis kelias valandas per dieną, šių metų „Pwn2Own“ renginys buvo tiesiogiai transliuojamas „YouTube“.

„Pwn2Own 2021“ programoje „Apple“ produktai nebuvo labai skirti, tačiau pirmąją dieną Jackas Datesas iš RET2 Systems įvykdė „Safari“ iki branduolio nulinės dienos eksploatavimo ir uždirbo 100 000 USD. Jis naudojo sveikojo skaičiaus perpildymą „Safari“ ir OOB rašymą, kad būtų paleistas branduolio lygio kodas, kaip parodyta toliau pateiktame „Twitter“ žinutėje.

Sveikiname Džeką! Vieno spustelėjimo „Apple Safari“ nuleidimas į branduolio nulinę dieną adresu # Pwn2Own 2021 m. RET2 vardu: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs – RET2 sistemos (@ret2systems) 2021 m. balandžio 6 d

Pavyzdžiui, olandų mokslininkai Daanas Keuperis ir Thijsas Alkemade'as įrodė rimtą „Zoom“ trūkumą. Duetas išnaudojo tris trūkumus, kad visiškai kontroliuotų tikslinį kompiuterį naudodami „Zoom“ programą be vartotojo sąveikos.

Mes vis dar patvirtiname detales #Mastelio keitimas išnaudoti su Daanu ir Thijsu, bet čia yra geresnis klaidos gifas. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW – Nulinės dienos iniciatyva (@thezdi) 2021 m. balandžio 7 d