X

Multiple exploit-uri pentru OS X si Safari dezvaluite in cadrul Pwn2Own 2016

Pwn2Own 2016 se desfasoara zilele acestea in Vancouver, Canada, iar multipli hackeri si cercetatori in securitate informatica de pe planeta sunt prezenti la eveniment fie pentru a demonstra vulnerabilitati software, fie pentru a fi asculta prezentarile unora dintre speakerii invitati.

In cadrul primei zile de prezentari un cercetator in securitate informatica numit JungHoon Lee a castigat 60.000 de dolari dupa ce a reusit sa exploateze OS X si Safari folosind 4 vulnerabilitati, trei atacand sistemul de operare si doar una browserul celor de la Apple.

JungHoon Lee a demonstrat o modalitate prin care a reusit sa obtina acces root la sistemul de operare OS X prin Safari si sa execute cod nesemnat, lucru care in mod normal ar trebui sa fie imposibil daca Apple ar securiza complet software-ul oferit utilizatorilor.

Separat, grupul Tencent Security Team Shield a reusit sa obtina acces root la OS X prin Safari folosind doua vulnerabilitati separate, una in browserul Safri si una intr-un proces cu privilegii de administrator, ei obtinand 40.000 de dolari pentru reusita.

JungHoon Lee (lokihardt): Demonstrated a successful code execution attack against Apple Safari to gain root privileges. The attack consisted of four new vulnerabilities: a use-after-free vulnerability in Safari and three additional vulnerabilities, including a heap overflow to escalate to root. This demonstration earned 10 Master of Pwn points and US$60,000.

In total, 5 echipe au facut demonstratii de vulnerabilitati in prima zi a Pwn2Own, iar ele au incasat nu mai putin de 282.500 de dolari pentru munca depusa, 132.500 de dolari din intreaga suma fiind incasata doar de catre echipa 360Vulcan.

Disqus Comments Loading...