సఫారీ రెండు భద్రతా లోపాలతో బాధపడుతోంది. ఒకటి మీ Macపై పూర్తి నియంత్రణను తీసుకోవడానికి మిమ్మల్ని అనుమతిస్తుంది

21. 3. 2019

వాంకోవర్‌లో జరిగిన భద్రతా సమావేశంలో వైట్ హ్యాట్ హ్యాకర్లు సఫారి బ్రౌజర్‌లో రెండు భద్రతా లోపాలను కనుగొన్నారు. వాటిలో ఒకటి మీ Macపై పూర్తి నియంత్రణను తీసుకునే స్థాయికి దాని అనుమతులను కూడా సర్దుబాటు చేయగలదు. కనుగొనబడిన బగ్‌లలో మొదటిది శాండ్‌బాక్స్ నుండి నిష్క్రమించగలిగింది - అప్లికేషన్‌లు వారి స్వంత మరియు సిస్టమ్ డేటాను మాత్రమే యాక్సెస్ చేయడానికి అనుమతించే వర్చువల్ భద్రతా కొలత.

ఈ పోటీని ఫ్లోరోఅసెటేట్ బృందం ప్రారంభించింది, వీరిలో సభ్యులు అమత్ కామా మరియు రిచర్డ్ ఝూ ఉన్నారు. బృందం ప్రత్యేకంగా Safari వెబ్ బ్రౌజర్‌ను లక్ష్యంగా చేసుకుంది, విజయవంతంగా దాడి చేసి శాండ్‌బాక్స్ నుండి నిష్క్రమించింది. మొత్తం ఆపరేషన్ బృందం కోసం దాదాపు మొత్తం కేటాయించిన సమయ పరిమితిని తీసుకుంది. కోడ్ రెండవసారి మాత్రమే విజయవంతమైంది మరియు బగ్‌ని చూపడం వలన టీమ్ ఫ్లూరోఅసెటేట్ $55K మరియు మాస్టర్ ఆఫ్ Pwn టైటిల్‌కి 5 పాయింట్లను సంపాదించింది.

రెండవ బగ్ Macలో రూట్ మరియు కెర్నల్ యాక్సెస్‌ను అనుమతించిందని వెల్లడించింది. ఫీన్‌హెక్స్ & క్వెర్టీ బృందం బగ్‌ని ప్రదర్శించింది. వారి స్వంత వెబ్‌సైట్‌ను బ్రౌజ్ చేస్తున్నప్పుడు, బృంద సభ్యులు JIT బగ్‌ని సక్రియం చేయగలిగారు, ఆ తర్వాత పూర్తి సిస్టమ్ దాడికి దారితీసే అనేక టాస్క్‌లు ఉన్నాయి. Apple బగ్‌లలో ఒకదాని గురించి తెలుసు, కానీ బగ్‌లను ప్రదర్శించడం ద్వారా పాల్గొనేవారు $45 మరియు మాస్టర్ ఆఫ్ Pwn టైటిల్ వైపు 4 పాయింట్లను సంపాదించారు.

బృందం ఫ్లోరోఅసిటేట్ — ఫ్లోరోఅసిటేట్ బృందం (మూలం: ZDI)

కాన్ఫరెన్స్ నిర్వాహకులు ట్రెండ్ మైక్రో దాని జీరో డే ఇనిషియేటివ్ (ZDI) బ్యానర్ క్రింద ఉన్నారు. హానిలను తప్పుడు వ్యక్తులకు విక్రయించే బదులు నేరుగా కంపెనీలకు ప్రైవేట్‌గా నివేదించడానికి హ్యాకర్‌లను ప్రోత్సహించడానికి ఈ ప్రోగ్రామ్ రూపొందించబడింది. ఆర్థిక రివార్డులు, రసీదులు మరియు శీర్షికలు హ్యాకర్లకు ప్రేరణగా ఉండాలి.

ఆసక్తి ఉన్న పార్టీలు అవసరమైన సమాచారాన్ని నేరుగా ZDIకి పంపుతాయి, ఇది ప్రొవైడర్ గురించి అవసరమైన డేటాను సేకరిస్తుంది. చొరవ ద్వారా నేరుగా నియమించబడిన పరిశోధకులు ప్రత్యేక పరీక్షా ప్రయోగశాలలలో ఉద్దీపనలను తనిఖీ చేసి, ఆపై కనుగొన్న వారికి బహుమతిని అందిస్తారు. ఇది ఆమోదం పొందిన వెంటనే చెల్లించబడుతుంది. మొదటి రోజులో, ZDI నిపుణులకు 240 డాలర్లకు పైగా చెల్లించింది.

Safari అనేది హ్యాకర్లకు ఒక సాధారణ ఎంట్రీ పాయింట్. గత సంవత్సరం కాన్ఫరెన్స్‌లో, ఉదాహరణకు, మ్యాక్‌బుక్ ప్రోలో టచ్ బార్‌ను నియంత్రించడానికి బ్రౌజర్ ఉపయోగించబడింది మరియు అదే రోజు, ఈవెంట్‌కు హాజరైనవారు ఇతర బ్రౌజర్ ఆధారిత దాడులను ప్రదర్శించారు.

మూలం: ZDI

అంశాలు: ఆపరేషన్, హ్యాకర్, సఫారీ, మాక్బుక్ ప్రో, టచ్, మ్యాక్బుక్, కార్యక్రమం, అప్లికేస్, ఆపిల్

వ్యాసం యొక్క చర్చ

నీ పేరు

మీ అభిప్రాయం

పై డేటాను పూరించడం ద్వారా, కంపెనీ TEXT FACTORY s.r.o., Brno, Durďákova 336/29లో రిజిస్టర్డ్ కార్యాలయం, Černá Pole, జిప్ కోడ్: 613 00, ID నంబర్: 06157831, ప్రాంతీయ న్యాయస్థానం, Brnoyal కోర్ట్‌లో రిజిస్టర్ చేయబడిందని నేను ధృవీకరిస్తున్నాను. , 100399ని చొప్పించండి, ఆర్టికల్ 6 పేరా 1 లేఖ ప్రకారం TEXT FACTORY s.r.o. యొక్క చట్టబద్ధమైన ప్రయోజనాల ఆధారంగా నేను పూరించిన రిజిస్ట్రేషన్ ఫారమ్‌లో అందించిన నా వ్యక్తిగత డేటాను ప్రాసెస్ చేస్తుంది f) GDPR మరియు చట్టపరమైన బాధ్యతలను నెరవేర్చడానికి (ఆర్టికల్ 6, పేరా 1, లేఖ సి) GDPR), క్రింది ప్రయోజనాల కోసం: ప్రచురించబడిన కథనాలకు లేదా చర్చలో చురుకుగా సహకరించడానికి TEXT FACTORY s.r.o నిర్వహించే వెబ్‌సైట్‌లకు సందర్శకుల అధికారాన్ని నిర్ధారించాల్సిన అవసరం ఫోరమ్‌లు మరియు ఈ చర్చా ఫోరమ్‌ల నిర్వాహకులుగా TEXT FACTORY s.r.o. హక్కులను వినియోగించుకోవడం. వ్యక్తిగత డేటా మరియు హక్కుల ప్రాసెసింగ్ గురించి మరింత సమాచారం చూడవచ్చు వ్యక్తిగత డేటా రక్షణపై పాఠాలు. మొత్తం వచనం

సంబంధిత