Cercetător de securitate câștigă 100.000 USD pentru exploatarea Safari în cadrul concursului de hacking Pwn2Own

În fiecare an, Zero Day Initiative găzduiește un concurs de hacking „Pwn2Own” în care cercetătorii de securitate pot câștiga bani pentru găsirea unor vulnerabilități grave în platformele majore precum Windows și macOS.

Acest eveniment virtual Pwn2Own 2021 a început la începutul acestei săptămâni și a prezentat 23 de încercări separate de hacking în 10 produse diferite, inclusiv browsere web, virtualizare, servere și multe altele. O afacere de trei zile care se întinde pe mai multe ore pe zi, evenimentul Pwn2Own de anul acesta a fost transmis în direct pe YouTube.

Produsele Apple nu au fost foarte vizate în Pwn2Own 2021, dar în prima zi, Jack Dates de la RET2 Systems a executat un exploit de tip zero-day Safari în kernel și a câștigat el însuși 100.000 USD. El a folosit un depășire de numere întregi în Safari și o scriere OOB pentru a obține execuția codului la nivel de kernel, așa cum este demonstrat în tweetul de mai jos.

Felicitări Jack! Aterizarea unui Apple Safari cu 1 clic la Kernel Zero-day la # Pwn2Own 2021 în numele RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) 6 aprilie 2021

Un defect grav Zoom a fost demonstrat de cercetătorii olandezi Daan Keuper și Thijs Alkemade, de exemplu. Duo-ul a exploatat un trio de defecte pentru a obține controlul total asupra unui computer țintă folosind aplicația Zoom fără interacțiunea utilizatorului.

Încă confirmăm detaliile #Mărire exploatează cu Daan și Thijs, dar iată un gif mai bun al bug-ului în acțiune. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Inițiativa Zero Day (@thezdi) 7 aprilie 2021