Даследчыкі бяспекі выявілі некалькі недахопаў у OS X і Safari падчас Pwn2Own 2016

Pwn2Own 2016-safari-os x-збоі-0

Ужо ідзе штогадовая канферэнцыя па бяспецы CanSecWest у сваім шаснаццатым выданні, якое прайшло ў Ванкуверы (Канада), дзе некаторыя з лепшых даследчыкаў бяспекі ўдзельнічаюць у канкрэтным конкурсе, які ўжо мы з вамі размаўлялі. Гэта Pwn2Own, кампутарны "хакерскі" конкурс, дзе яны спрабуюць атакаваць розныя праграмныя прадукты (у асноўным аперацыйныя сістэмы і браўзэры), каб выявіць уразлівасці і такім чынам выйграць прызы.

З гэтай нагоды даследчыкі выявілі некалькі важных уразлівасцяў як у OS X, так і ў Safari, гэта не азначае выяўлення недахопаў бяспекі, а наадварот, бо сярод удзельнікаў таксама сустракаюцца распрацоўшчыкі і інжынеры з розных кампаній, якім папярэджана запусціць адпаведныя патчы для вырашэння гэтых праблем, таму няма шкоды, якая не прыходзіць.

Pwn2Own 2016-safari-os x-збоі-1

У першы дзень мерапрыемства незалежны даследчык бяспекі Чонгун Лі зарабіў 60.000 XNUMX долараў, выявіўшы розныя подзвігі. як у OS X, так і ў Safari, усяго да чатырох уразлівасцяў, у тым ліку рабаванні ў Safari і тры ў OS X па дадзеных фірмы Tred Micro. Гэта даследаванне прадэманстравала паспяховую атаку на выкананне адвольнага кода супраць Safari для атрымання каранёвых прывілеяў.

З іншага боку, камандзе Tencent таксама ўдалося атрымаць прывілеі ў Safari, знайшоўшы для іх яшчэ дзве ўразлівасці, з дапамогай якіх яны выйгралі 40.000 XNUMX долараў. У агульнай складанасці прызы на суму 282.500 360 долараў былі размеркаваны паміж рознымі "канкурсантамі", пераможцам стала каманда 132.500Vulcan з агульнай сумай XNUMX XNUMX долараў.

Акрамя праграмнага забеспячэння Apple, была таксама спроба выкарыстаць Adobe Flash, Chrome і Microsoft Edge на Windows. Як паведамлялася на той жа канферэнцыі, ужо ідзе праца па выпуску згаданых патчаў як мага хутчэй.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

Будзьце першым, каб каментаваць

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны.

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.

bool (праўда)