Исследователь получает 100000 долларов после обнаружения эксплойта Safari на мероприятии Pwn2Own 2021

Событие Pwn2Own 2021 продвигается инициативой Zero Day Initiative как способ побудить разработчиков и исследователей сообщать об уязвимостях нулевого дня пострадавшим компаниям вместо того, чтобы продавать эти утечки злонамеренным хакерам. В этом году системному исследователю Джеку Дейтсу заплатили 100 000 долларов за обнаружение нового эксплойта в веб-браузере Apple Safari.

Для тех, кто не знаком с этим термином, эксплойт нулевого дня — это, по сути, недавно обнаруженная уязвимость, исправление которой до сих пор неизвестно разработчикам.

Дейтсу удалось использовать целочисленное переполнение, чтобы получить выполнение кода уровня ядра через Safari для Mac, что означает, что эксплойт приводит к полному доступу к остальной части компьютера. Подтверждение было поделился в Твиттере с коротким GIF-изображением, показывающим эксплойт в действии.

Подтвержденный! Джек Дейтс из RET2 Systems использовал целочисленное переполнение в Safari и OOB Write, чтобы добиться выполнения кода ядра. Он выигрывает 100 тысяч долларов плюс 10 очков Master of Pwn, чтобы начать соревнование правильно!

Хотя мероприятие не было посвящено продуктам Apple, уязвимость Safari была действительно неизвестна, поэтому Дейтс выиграл 100 000 долларов за свое открытие. В прошлом месяце стало известно, как группа хакеров использовала взломанные веб-сайты для заражения iOS-устройств. Информация об этих нарушениях безопасности со стороны нужных людей позволяет Apple быстро исправлять эти уязвимости с помощью обновлений программного обеспечения.

В связи с этим исследователи безопасности также продемонстрировали на мероприятии Pwn2Own эксплойт, обнаруженный в популярном сервисе видеоконференцсвязи Zoom, который также приводит к тому, что хакеры получают полный доступ к компьютеру.

Более подробную информацию о других нарушениях безопасности, обнаруженных исследователями на мероприятии Pwn2Own, можно найти на официальном сайте Zero Day Initiative.