Biztonságkutató 100 000 dollárt keres a Safari Exploitért a Pwn2Own Hacking Contestben

A Zero Day Initiative minden évben megrendezi a „Pwn2Own” hackerversenyt, ahol a biztonsági kutatók pénzt kereshetnek azzal, hogy komoly sebezhetőségeket találnak olyan nagy platformokon, mint a Windows és a macOS.

Ez a 2021-es Pwn2Own virtuális esemény a hét elején indult, és 23 különálló hackelési kísérletet tartalmazott 10 különböző terméken, beleértve a webböngészőket, a virtualizációt, a szervereket és egyebeket. Az idei Pwn2Own esemény egy háromnapos esemény, amely napi több órát ölel fel, élőben közvetítette a YouTube-on.

A Pwn2Own 2021-ben az Apple-termékek nem voltak túlzottan megcélozva, de az első napon Jack Dates a RET2 Systemstől végrehajtotta a Safarit a kernel nulladik napi kihasználásáig, és 100 000 dollárt keresett. Egész szám túlcsordulást használt a Safariban és egy OOB írást a kernel szintű kód végrehajtásához, amint az alábbi tweetben bemutatásra került.

Gratulálok Jack! Egy kattintással elérhetõ Apple Safari kernel nulladik napján itt # Pwn2Own 2021 a RET2 nevében: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) 2021. április 6

A Zoom komoly hibáját például Daan Keuper és Thijs Alkemade holland kutatók mutatták be. A duó három hibáját használta ki, hogy a Zoom alkalmazással teljes irányítást szerezzen a célszámítógép felett, felhasználói beavatkozás nélkül.

A részleteket még megerősítjük #Zoomolás exploit Daan és Thijs, de itt van egy jobb gif a hiba működés közben. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) 2021. április 7