På TV-ene i landet vårt er vi vant til å se de underligste og mest forskjellige konkurransene. Langt fra "1,2,3 svaret igjen" og "den gule humoren" til japanerne, underholder vi oss i dag ved å se på storfilmer av isolerte kjendiser på øde øyer, eller sånne ting.
Det er en årlig konkurranse som ofte ikke blir lagt merke til for oss, men som har et enormt antall på verdensbasis. Det handler om "Pwn2Own«, Der de mest kjente hackerne blir satt på prøve ved å få dem til å" byste "forskjellige systemer live. En av dem har fått en god nipp ved å hacke en Safari-utnyttelse.
Hvert år arrangerer Zero Day Initiative en hacking-konkurranse kalt "Pwn2Own" der sikkerhetsforskere kan tjene penger hvis de finner alvorlige sårbarheter live på store plattformer som f.eks. Windows og macOS.
Denne virtuelle hendelsen "Pwn2Own 2021" startet tidligere denne uken og inneholdt 23 hackingsforsøk delt inn i 10 forskjellige produkter, inkludert nettlesere, virtualisering, servere og mer. En konkurranse som varer flere timer om dagen i tre påfølgende dager, og sendes direkte på YouTube.
Apples systemer ble ikke sterkt angrepet i denne utgaven av konkurransen, men den første dagen, Jack går sammen RET2 Systems kjørte en Safari-utnyttelse "to kernel zero-day" og vant Amerikanske dollar 100.000. Brukte et heltalloverløp i Safari og et OOB-skript for å få kjøring av kjernekodenivå, som sertifisert av tweet av organisasjonen.
Gratulerer Jack! Lander et 1-klikk Apple Safari til Kernel Zero-dag kl # Pwn2Own 2021 på vegne av RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
- RET2 Systems (@ ret2systems) April 6, 2021
De hacket ikke bare Safari
Andre hackingsforsøk under "Pwn2Own" -hendelsen målrettet Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome og Microsoft Edge, og fikk mer eller mindre formue.
For eksempel demonstrerte de nederlandske forskerne Daan Keuper og Thijs Alkemade en alvorlig sikkerhetsfeil Zoom. Duoen utnyttet en trio med mangler for å få full kontroll over en mål-PC ved hjelp av Zoom-appen uten brukerinteraksjon.
Pwn2Own deltakere mottok over 1,2 millioner i belønning for feilene de oppdaget. Pwn2Own gir leverandører som Apple 90 dager på å produsere en løsning for oppdagede sårbarheter, så vi kan forvente at feilen blir adressert i en kommende oppdatering.