V Safariju sta bili zaznani dve ranljivosti nič dan

Izkoriščanja v Safariju

Mac računalniki že od nekdaj domnevajo, vsaj njihovi uporabniki imunski na viruse, zlonamerno programsko opremo in vohunsko programsko opremo in druge metode za okužbo računalniške opreme. To ni tako, saj so hekerji edini razlog, da namesto sistema OS X / macOS, ciljajo na sistem Windows, zaradi njegovega svetovnega tržnega deleža.

Pravzaprav je v zadnjih letih vse pogosteje videti, kako ta vrsta programske opreme vpliva na macOS, ki želi zaseči naše podatke, slediti naši dejavnosti ali celo šifrirati vsebino celotnega računalnika v zameno za odkupnino (ransomware) Ko že govorimo o varnosti in macOS-u, je skupina hekerjev dva nula dneva izkoriščala na pobudo Safari Zero Day v Vancouvru.

Zero-day podvigi so tisti, ki so bili prisotni v aplikaciji od svoje končne različice, ne da bi ga razvijalec kadar koli poznal. Oba izkoriščanja lahko uporabimo za stopnjevanje privilegijev v macOS, dokler ne prevzamejo popolnega nadzora nad njimi.

Izkoriščanja v Safariju

Prvo izkoriščanje omogoča preskok v peskovniku, zaščita, ki jo macOS uporablja za zagotovitev, da imajo aplikacije dostop samo do svojih podatkov ali kakršnih koli sistemskih podatkov, ki jih Apple dovoljuje. S tem podvigom lahko prek brskalnika Safari dostopate do vseh informacij, ki smo jih shranili v našem računalniku. Ta podvig sta odkrila Amat Cama in Richard Zhu, ki sta dosegla ceno 55.000 dolarjev.

Izkoriščanja v Safariju

Drugi podvig je še bolj nevaren, saj dopušča pridobite dostop do root in jedra iz Maca, vam omogoča popoln nadzor nad ekipo. Ta drugi podvig sta odkrila @_niklasb @qwertyoruiopz in @bkth_, s katerimi jim je uspelo dobiti 45.000 dolarjev.

Safari vedno bila je ena glavnih dostopnih točk za hekerje. V zadnjem letu so med tekmovanjem v Vancouvru, kjer so odkrili ta dva nova podviga, drugi hekerji zaznali še en podvig, ki jim je omogočil nadzor nad Touch Bar v MacBook Pro, ta pa je zahteval največ pozornost ostalih 3, ki so bili prav tako zaznani v brskalniku Apple.

Ta dogodek, ki ga sponzorira Trend Micro in se imenuje Zero Day Initiave (ZDI), je bil ustvarjen za motivirati hekerje, da poročajo o ranljivostih ki jih običajno zaznajo, namesto da bi jih prodali tretjim osebam, čeprav je to najboljši način, da pridobijo veliko več denarja kot s temi nagradami, katerih znesek se vsako leto poveča.


Bodite prvi komentar

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.