వాంకోవర్లో జరిగిన భద్రతా సమావేశంలో వైట్ హ్యాట్ హ్యాకర్లు సఫారి బ్రౌజర్లో రెండు భద్రతా లోపాలను కనుగొన్నారు. వాటిలో ఒకటి మీ Macపై పూర్తి నియంత్రణను తీసుకునే స్థాయికి దాని అనుమతులను కూడా సర్దుబాటు చేయగలదు. కనుగొనబడిన బగ్లలో మొదటిది శాండ్బాక్స్ నుండి నిష్క్రమించగలిగింది - అప్లికేషన్లు వారి స్వంత మరియు సిస్టమ్ డేటాను మాత్రమే యాక్సెస్ చేయడానికి అనుమతించే వర్చువల్ భద్రతా కొలత.
ఈ పోటీని ఫ్లోరోఅసెటేట్ బృందం ప్రారంభించింది, వీరిలో సభ్యులు అమత్ కామా మరియు రిచర్డ్ ఝూ ఉన్నారు. బృందం ప్రత్యేకంగా Safari వెబ్ బ్రౌజర్ను లక్ష్యంగా చేసుకుంది, విజయవంతంగా దాడి చేసి శాండ్బాక్స్ నుండి నిష్క్రమించింది. మొత్తం ఆపరేషన్ బృందం కోసం దాదాపు మొత్తం కేటాయించిన సమయ పరిమితిని తీసుకుంది. కోడ్ రెండవసారి మాత్రమే విజయవంతమైంది మరియు బగ్ని చూపడం వలన టీమ్ ఫ్లూరోఅసెటేట్ $55K మరియు మాస్టర్ ఆఫ్ Pwn టైటిల్కి 5 పాయింట్లను సంపాదించింది.
రెండవ బగ్ Macలో రూట్ మరియు కెర్నల్ యాక్సెస్ను అనుమతించిందని వెల్లడించింది. ఫీన్హెక్స్ & క్వెర్టీ బృందం బగ్ని ప్రదర్శించింది. వారి స్వంత వెబ్సైట్ను బ్రౌజ్ చేస్తున్నప్పుడు, బృంద సభ్యులు JIT బగ్ని సక్రియం చేయగలిగారు, ఆ తర్వాత పూర్తి సిస్టమ్ దాడికి దారితీసే అనేక టాస్క్లు ఉన్నాయి. Apple బగ్లలో ఒకదాని గురించి తెలుసు, కానీ బగ్లను ప్రదర్శించడం ద్వారా పాల్గొనేవారు $45 మరియు మాస్టర్ ఆఫ్ Pwn టైటిల్ వైపు 4 పాయింట్లను సంపాదించారు.
కాన్ఫరెన్స్ నిర్వాహకులు ట్రెండ్ మైక్రో దాని జీరో డే ఇనిషియేటివ్ (ZDI) బ్యానర్ క్రింద ఉన్నారు. హానిలను తప్పుడు వ్యక్తులకు విక్రయించే బదులు నేరుగా కంపెనీలకు ప్రైవేట్గా నివేదించడానికి హ్యాకర్లను ప్రోత్సహించడానికి ఈ ప్రోగ్రామ్ రూపొందించబడింది. ఆర్థిక రివార్డులు, రసీదులు మరియు శీర్షికలు హ్యాకర్లకు ప్రేరణగా ఉండాలి.
ఆసక్తి ఉన్న పార్టీలు అవసరమైన సమాచారాన్ని నేరుగా ZDIకి పంపుతాయి, ఇది ప్రొవైడర్ గురించి అవసరమైన డేటాను సేకరిస్తుంది. చొరవ ద్వారా నేరుగా నియమించబడిన పరిశోధకులు ప్రత్యేక పరీక్షా ప్రయోగశాలలలో ఉద్దీపనలను తనిఖీ చేసి, ఆపై కనుగొన్న వారికి బహుమతిని అందిస్తారు. ఇది ఆమోదం పొందిన వెంటనే చెల్లించబడుతుంది. మొదటి రోజులో, ZDI నిపుణులకు 240 డాలర్లకు పైగా చెల్లించింది.
Safari అనేది హ్యాకర్లకు ఒక సాధారణ ఎంట్రీ పాయింట్. గత సంవత్సరం కాన్ఫరెన్స్లో, ఉదాహరణకు, మ్యాక్బుక్ ప్రోలో టచ్ బార్ను నియంత్రించడానికి బ్రౌజర్ ఉపయోగించబడింది మరియు అదే రోజు, ఈవెంట్కు హాజరైనవారు ఇతర బ్రౌజర్ ఆధారిత దాడులను ప్రదర్శించారు.
మూలం: ZDI