Amaya Toman Hackerên White Hat di konferansek ewlehiyê de li Vancouverê du xeletiyên ewlehiyê di geroka Safari de keşf kirin. Yek ji wan tewra dikare destûrên xwe biguhezîne heya ku bi tevahî kontrola Mac-a we bigire. Yekem ji xeletiyên ku hatine vedîtin karîbû ku ji sandboxê derkeve - pîvanek ewlehiya virtual ku dihêle serîlêdan tenê bigihîjin daneyên xwe û pergalê.
Pêşbirk ji aliyê tîma Fluoroacetate ku endamên wê Amat Cama û Richard Zhu bûn, dest pê kir. Tîmê bi taybetî geroka webê ya Safari kir hedef, bi serfirazî êrîşî wê kir û ji sandboxê derket. Tevahiya operasyonê hema hema tevahiya dema diyarkirî ya tîmê girt. Kod tenê cara duyemîn serketî bû, û nîşana xeletiyê 55K $ Tîma Fluoroacetate û 5 xalên berbi sernavê Master of Pwn-ê nîşan da.
Xeletiya duyemîn eşkere kir ku destûr dide gihîştina root û kernelê li ser Mac-ê. Bûk ji hêla tîmê phoenhex & qwerty ve hate destnîşan kirin. Dema ku li malpera xwe geriyan, endamên tîmê karîbûn xeletiyek JIT-ê çalak bikin û li dûv wê rêzek peywiran rê li ber êrîşek pergalê ya tevahî vedike. Apple di derbarê yek ji xeletiyan de dizanibû, lê nîşankirina xeletiyan 45 $ û 4 xal ji beşdaran re li ser sernavê Master of Pwn qezenc kir.
Organîzatorê konferansê Trend Micro ye ku di bin navê înîsiyatîfa xwe ya Zero Day (ZDI) de ye. Ev bername ji bo teşwîqkirina hackeran hate afirandin ku li şûna ku wan ji mirovên xelet re bifroşin, bi taybetî qelsiyan rasterast ji pargîdaniyan re ragihînin. Divê xelatên darayî, pejirandin û sernav ji bo hackeran bibin motîvasyon.
Aliyên eleqedar rasterast agahdariya pêwîst ji ZDI re dişînin, ku daneyên pêwîst di derbarê pêşkêşker de berhev dike. Lekolînwanên ku rasterast ji hêla înîsiyatîfê ve têne xebitandin dê dûv re di laboratuarên ceribandina taybetî de teşwîqan kontrol bikin û dûv re xelatek pêşkêşî keşfê bikin. Ew yekser piştî pejirandina wê tê dayîn. Di roja yekem de, ZDI zêdetirî 240 dolar da pisporan.
Safari ji bo hackeran xalek têketina hevpar e. Mînakî, di konferansa sala borî de, gerok ji bo kontrolkirina Touch Bar-a MacBook Pro-yê hate bikar anîn, û di heman rojê de, beşdaran êrîşên din ên gerok-based nîşan dan.
Kanî: The ZDI
