Due importanti falle nella sicurezza di Safari sono state rese pubbliche durante la conferenza sulla sicurezza di questa settimana tenutasi a Vancouver, una delle quali potrebbe concedere il pieno controllo di un Mac.
Dimostrata dal team “phoenhex & qwerty” durante il contest, la vulnerabilità più grande riguarda un sito Web che attiva un bug JIT e due letture di memoria fuori limite, da cui un bug di tipo time-of-check-of-use che garantisce l’accesso root del kernel. Sebbene Apple sia già a conoscenza di uno dei bug usati, la squadra ha vinto 45.000 dollari.
Un altro team, “Fluoroacetate“, ha portato a casa ben 55.000 dollari per aver trovato un modo per sfuggire alla funzione Sandbox di macOS tramite un overflow di integer di Safari e un overflow di heap. L’hack ha richiesto quasi tutto il tempo assegnato alla squadra, poiché a un certo punto l’hack la tecnica brute force.
Insieme ai premi in denaro, i team ricevono anche i taccuini su cui vengono dimostrati gli exploit, oltre ai punti “Master of Pwn” per la competizione generale.
La conferenza Pwn2Own di Vancouver è ospitata dalla Zero Day Initiative di Trend Micro. Il programma offre incentivi finanziari agli hacker dopo aver convalidato i loro sforzi. La competizione serve per mettere in guardia gli sviluppatori e le aziende sui problemi di sicurezza in modo responsabile, invece di vendere gli exploit a “utenti malintenzionati”.
Sebbene ciò avvantaggi principalmente i prodotti di sicurezza di Trend Micro, informa anche altre aziende, come ad esempio Apple, su come migliorare la sicurezza complessiva della propria piattaforma. I dettagli completi sulle vulnerabilità di Safari non saranno resi pubbliche fino a quando Apple non avrà emesso una patch che vada a risolverle.