Amaya Tomán Los piratas informáticos de White Hat descubrieron dos fallas de seguridad en el navegador Safari en una conferencia de seguridad en Vancouver. Uno de ellos es incluso capaz de modificar sus permisos hasta el punto de tomar el control total de tu Mac. El primero de los errores descubiertos pudo salir de la zona de pruebas, una medida de seguridad virtual que permite a las aplicaciones acceder solo a sus propios datos y a los del sistema.
La competición la inició el equipo Fluoroacetato, cuyos miembros eran Amat Cama y Richard Zhu. El equipo apuntó específicamente al navegador web Safari, lo atacó con éxito y abandonó la zona de pruebas. Toda la operación tomó casi todo el tiempo asignado al equipo. El código solo tuvo éxito la segunda vez y, al mostrar el error, el equipo Fluoroacetate obtuvo $ 55 5 y XNUMX puntos para el título de Master of Pwn.
El segundo error revelado permitió el acceso raíz y al kernel en una Mac. El error fue demostrado por el equipo de Phoenix y Qwerty. Mientras navegaban por su propio sitio web, los miembros del equipo lograron activar un error JIT seguido de una serie de tareas que condujeron a un ataque completo al sistema. Apple conocía uno de los errores, pero al demostrarlo, los participantes ganaron 45 dólares y 4 puntos para el título de Master of Pwn.
El organizador de la conferencia es Trend Micro bajo el lema de su iniciativa Zero Day (ZDI). Este programa se creó para alentar a los piratas informáticos a informar de forma privada las vulnerabilidades directamente a las empresas en lugar de vendérselas a las personas equivocadas. Las recompensas financieras, los reconocimientos y los títulos deberían ser la motivación de los hackers.
Los interesados envían la información necesaria directamente a ZDI, que recopila los datos necesarios sobre el proveedor. Los investigadores empleados directamente por la iniciativa comprobarán los estímulos en laboratorios de pruebas especiales y luego ofrecerán una recompensa al descubridor. Se paga inmediatamente después de su aprobación. Durante el primer día ZDI pagó a los expertos más de 240 dólares.
Safari es un punto de entrada común para los piratas informáticos. En la conferencia del año pasado, por ejemplo, se utilizó el navegador para tomar el control de la Touch Bar en una MacBook Pro, y el mismo día, los asistentes al evento demostraron otros ataques basados en navegador.
Fuente: La ZDI
