Podczas właśnie się odbywających zawodów w łamaniu zabezpieczeń informatycznych Pwn2Own 2018, Samuel Groß złamał zabezpieczenia Safari i przejął kontrolę nad systemem.
Podatność, która pozwala na zwiększenie uprawnień
Współczesne systemy są tak pomyślane, aby nie tylko użytkownicy, ale i poszczególne programy i części systemów otrzymywały jedynie wymagane im do pracy przywileje. Chodzi o to, aby np. przeglądarka Safari nie mogła uruchomić dowolnego pliku lub dokonywać modyfikacji w systemie. Takie działania pozwalałyby na bardzo groźne, zdalne przejęcie kontroli nad całym komputerem.
Jednak jak widać wszystko, co człowiek zabezpieczy, drugi może prędzej czy później odbezpieczyć.
Wczoraj, podczas Pwn2Own 2018 Samuel Groß przeprowadził udany atak na Touch Bar MacBooka Pro, wyświetlając na nim swój tekst. To tylko widowiskowy przykład. Równie dobrze mógłby skasować część danych lub uruchomić własny kod.
Jego akcja została nagrodzona 65 tysiącami dolarów oraz 6 punktami Master of Pwn.
Tego samego dnia dokonano jeszcze podczas zawodów, udanego ataku na Microsoft Edge oraz innego, nieudanego na Safari. Atak na Oracle VirtualBox powiódł się częściowo.
To nie koniec zmagań Pwn2Own. Na dziś przewidziano kolejne dwie próby złamania zabezpieczeń Safari. Czy się powiodą, będziemy wiedzieć wieczorem.
Confirmed! @5aelo used a JIT optimization bug in the browser, a macOS logic bug, & a kernel overwrite to execute code to successfully exploit Apple Safari. This chain earned him $65K & 6 points Master of Pwn points. pic.twitter.com/iLfNFnXzzs
— Zero Day Initiative (@thezdi) March 15, 2018
Źródło: zerodayinitiative.com
Zdjęcie tytułowe: Twitter
Jak zainstaluje chrome to będę bezpieczny?
I tak jesteś, te ataki dość trudno zrealizować, ale wcale nie koniecznie.