Penyelidik Keselamatan Mendapat $100,000 untuk Eksploit Safari dalam Peraduan Penggodaman Pwn2Own

Setiap tahun, Zero Day Initiative menganjurkan pertandingan penggodaman 'Pwn2Own' di mana penyelidik keselamatan boleh memperoleh wang untuk mencari kelemahan yang serius dalam platform utama seperti Windows dan macOS.

Acara maya Pwn2Own 2021 ini bermula awal minggu ini dan menampilkan 23 percubaan penggodaman berasingan merentas 10 produk berbeza termasuk pelayar web, virtualisasi, pelayan dan banyak lagi. Acara tiga hari yang berlangsung selama beberapa jam sehari, acara Pwn2Own tahun ini telah distrim langsung di YouTube.

Produk Apple tidak disasarkan secara besar-besaran dalam Pwn2Own 2021, tetapi pada hari pertama, Jack Dates daripada RET2 Systems melaksanakan Safari untuk mengeksploitasi kernel sifar hari dan memperoleh $100,000 untuk dirinya sendiri. Dia menggunakan limpahan integer dalam Safari dan penulisan OOB untuk mendapatkan pelaksanaan kod peringkat kernel, seperti yang ditunjukkan dalam tweet di bawah.

Tahniah Jack! Mendarat Apple Safari 1-klik ke Kernel Zero-day di # Pwn2Own 2021 bagi pihak RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Sistem RET2 (@ret2systems) 6 April 2021

Kecacatan Zoom yang serius telah ditunjukkan oleh penyelidik Belanda Daan Keuper dan Thijs Alkemade, sebagai contoh. Kedua-duanya mengeksploitasi trio kelemahan untuk mendapatkan kawalan penuh ke atas PC sasaran menggunakan aplikasi Zoom tanpa interaksi pengguna.

Kami masih mengesahkan butiran #Zum mengeksploitasi dengan Daan dan Thijs, tetapi berikut ialah gif pepijat yang lebih baik dalam tindakan. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Inisiatif Sifar Hari (@thezdi) 7 April 2021