Pwn2Own 2021: ricercatore vince 100.000$ per aver trovato una vulnerabilità in Safari

Al Pwn2Own è stata scoperta un'importante vulnerabilità di sicurezza su Safari.

Il concorso Pwn2Own 2021 iniziato questa settimana ha già visto vincere diversi premi a ricercatori di sicurezza che hanno scoperto vulnerabilità su piattaforme come Windows e macOS.

safari 14 estensioni

L’evento di quest’anno è esclusivamente virtuale causa COVID-19, ma ha già visto 23 tentativi di hacking separati su 10 prodotti diversi, inclusi browser web, server e sistemi operativi. Non ci sono particolari criticità per i prodotti Apple, fatta eccezione per un exploit zero-day trovato da Jack Dates di RET2 Systems su Safari.

Grazie a questo exploit, il ricercatore ha vinto un premio in denaro di 100.000 dollari. Dates ha usato un integer overflow in Safari e una scrittura OOB per eseguire il codice a livello di kernel, come mostrato nel tweet in basso:

Altri tentativi di hacking durante l’evento Pwn2Own hanno preso di mira Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome e Microsoft Edge.

Un grave difetto di Zoom è stato scovato dai ricercatori olandesi Daan Keuper e Thijs Alkemade. Il duo ha sfruttato tre bug per ottenere il controllo totale di un PC di destinazione utilizzando l’app Zoom senza interazione da parte dell’utente. I partecipanti a Pwn2Own hanno già ricevuto più di 1,2 milioni di dollari di premi per i bug che hanno scoperto.

Pwn2Own offre alle aziende come Apple 90 giorni per rilasciare una correzione per le vulnerabilità scoperte prima della condivisione di tutti i dettagli, quindi possiamo aspettarci che il bug venga risolto in un prossimo aggiornamento di macOS.

MacBook Air M1 in sconto su

Sicurezza