Safari стал целью еще двух эксплойтов на конференции по безопасности Pwn2Own

Chance Miller | Четверг, 15 марта, 2018, 05:40.

Avatar for Chance Miller
 | 15 марта 2018 г. — 17:44 PT

Ежегодная конференция Pwn2Own продолжает свою работу, и Safari остается общей целью среди исследователей безопасности. После эксплойтов, о которых мы сообщали ранее сегодня, второй день конференции принес новые новости для Apple…

Во-первых, согласно результатам, опубликованным на сайте Zero Day Initiative от Trend Micro этим вечером, Георги Гешев, Алекс Пласкетт и Фаби Бетерке из MWR Labs использовали две уязвимости для эксплуатации Safari и, в конечном итоге, выхода из песочницы. Это означает, что эксплойт теоретически сможет получить доступ к разрешениям за пределами Safari.

Команда MWR Labs заработала $55 000 и 5 очков Master of Pwn.

MWR Labs – Алекс Пласкетт, Георги Гешев, Фаби Бетерке, нацеленные на Apple Safari с выходом из песочницы

Успех: Команда использовала две уязвимости для эксплуатации Safari и выхода из песочницы. Они заработали $55 000 и 5 очков Master of Pwn.

На отдельной сессии Ник Бернетт, Маркус Гаазедаален и Патрик Бьернат из Ret2 Systems нацелились на Safari с уязвимостями повышения привилегий в ядре macOS. Команда в конечном итоге не смогла завершить свой эксплойт в отведенное время, хотя и сумела заставить его работать после этого.

Маркус Гаазедаален, Ник Бернетт, Патрик Бьернат из Ret2 Systems, Inc. нацеленные на Apple Safari с EoP ядра macOS

Неудача: Участник не смог заставить свой эксплойт работать в отведенное время.

Самый важный аспект конференции Pwn2Own, которая началась в 2007 году, заключается в том, что разработчики, такие как Apple, уведомляются об эксплойтах и имеют достаточно возможностей для исправления того, что иначе могло бы стать критическими недостатками программного обеспечения.

Подпишитесь на 9to5Mac на YouTube, чтобы получать больше новостей об Apple: