Amaya Toman Penggodam White Hat menemui dua kelemahan keselamatan dalam pelayar Safari pada persidangan keselamatan di Vancouver. Salah satu daripada mereka juga boleh mengubah suai kebenarannya sehingga dapat mengawal sepenuhnya Mac anda. Pepijat pertama yang ditemui dapat meninggalkan kotak pasir - langkah keselamatan maya yang membenarkan aplikasi mengakses data mereka sendiri dan sistem sahaja.
Pertandingan ini dimulakan oleh pasukan Fluoroacetate, yang ahlinya ialah Amat Cama dan Richard Zhu. Pasukan itu secara khusus menyasarkan pelayar web Safari, berjaya menyerangnya dan meninggalkan kotak pasir. Seluruh operasi mengambil hampir keseluruhan had masa yang diperuntukkan untuk pasukan. Kod tersebut hanya berjaya kali kedua, dan menunjukkan pepijat memperoleh Pasukan Fluoroacetate $55K dan 5 mata ke arah gelaran Sarjana Pwn.
Pepijat kedua mendedahkan membenarkan akses root dan kernel pada Mac. Pepijat telah ditunjukkan oleh pasukan phoenhex & qwerty. Semasa menyemak imbas laman web mereka sendiri, ahli pasukan berjaya mengaktifkan pepijat JIT diikuti dengan beberapa siri tugas yang membawa kepada serangan sistem penuh. Apple mengetahui tentang salah satu pepijat, tetapi menunjukkan pepijat memperoleh peserta $45 dan 4 mata ke arah gelaran Sarjana Pwn.
Penganjur persidangan itu ialah Trend Micro di bawah panji inisiatif Zero Day (ZDI). Program ini dicipta untuk menggalakkan penggodam melaporkan kelemahan secara peribadi secara terus kepada syarikat dan bukannya menjualnya kepada orang yang salah. Ganjaran kewangan, pengiktirafan dan gelaran harus menjadi motivasi untuk penggodam.
Pihak yang berminat menghantar maklumat yang diperlukan terus kepada ZDI, yang mengumpul data yang diperlukan tentang pembekal. Penyelidik yang bekerja secara langsung oleh inisiatif itu kemudian akan memeriksa rangsangan dalam makmal ujian khas dan kemudian menawarkan kepada penemu ganjaran. Ia dibayar serta-merta selepas kelulusannya. Pada hari pertama, ZDI membayar lebih 240 dolar kepada pakar.
Safari ialah pintu masuk biasa untuk penggodam. Pada persidangan tahun lepas, sebagai contoh, penyemak imbas telah digunakan untuk mengawal Bar Sentuh MacBook Pro, dan pada hari yang sama, peserta menunjukkan serangan berasaskan pelayar lain.
Sumber: ZDI
