Амая Томан Цагаан малгайт хакерууд Ванкуверт болсон аюулгүй байдлын бага хурлын үеэр Safari хөтөчийн аюулгүй байдлын хоёр алдаа илрүүлжээ. Тэдний нэг нь таны Mac-ыг бүрэн хянах хүртэл зөвшөөрлөө өөрчлөх боломжтой. Илэрсэн алдаануудын эхнийх нь хамгаалагдсан хязгаарлагдмал орчинг орхиж чадсан бөгөөд энэ нь программуудад зөвхөн өөрийн болон системийн өгөгдөлд хандах боломжийг олгодог виртуал аюулгүй байдлын арга хэмжээ юм.
Тэмцээнийг Амат Кама, Ричард Жу нараас бүрдсэн Флуороацетатын баг эхлүүлсэн. Тус багийнхан Safari вэб хөтчийг тусгайлан онилж, амжилттай довтолж, хамгаалагдсан хязгаарлагдмал орчинг орхисон. Бүхэл бүтэн үйл ажиллагаа нь багт заасан бараг бүх хугацааг зарцуулсан. Энэхүү код нь зөвхөн хоёр дахь удаагаа амжилттай болсон бөгөөд алдааг харуулсан нь Fluoroacetate багийг 55 мянган доллар, Master of Pwn цолны төлөө 5 оноо авчээ.
Хоёр дахь алдаа нь Mac дээр root болон цөмд хандахыг зөвшөөрсөн байна. Алдааг phoenhex & qwerty багийнхан харуулсан. Багийн гишүүд өөрсдийн вэбсайтыг үзэж байхдаа JIT алдааг идэвхжүүлж, дараа нь системийн бүрэн халдлагад хүргэсэн хэд хэдэн даалгаврыг хийж чадсан. Apple алдаануудын талаар мэддэг байсан ч алдаагаа үзүүлснээр оролцогчид 45 доллар авч, Master of Pwn цолыг хүртэх 4 оноо авчээ.
Чуулганы зохион байгуулагч нь Zero Day санаачилга (ZDI) тугийн дор Trend Micro юм. Энэхүү программыг хакерууд эмзэг байдлыг буруу хүмүүст худалдахын оронд компаниудад шууд мэдээлэхийг дэмжих зорилгоор бүтээгдсэн. Санхүүгийн урамшуулал, талархал, цол хэргэм нь хакеруудын сэдэл байх ёстой.
Сонирхсон талууд шаардлагатай мэдээллийг ZDI руу шууд илгээдэг бөгөөд энэ нь үйлчилгээ үзүүлэгчийн талаар шаардлагатай мэдээллийг цуглуулдаг. Санаачилгаар шууд ажилладаг судлаачид тусгай туршилтын лабораторид өдөөлтийг шалгаж, дараа нь нээгчийг урамшуулах болно. Үүнийг зөвшөөрсний дараа шууд төлдөг. Эхний өдөр ZDI мэргэжилтнүүдэд 240 гаруй доллар төлжээ.
Safari бол хакеруудын нийтлэг нэвтрэх цэг юм. Жишээлбэл, өнгөрсөн жилийн бага хурал дээр MacBook Pro дээрх мэдрэгчтэй самбарыг хянахын тулд хөтчийг ашигласан бөгөөд тэр өдөр арга хэмжээнд оролцогчид хөтөч дээр суурилсан бусад халдлагуудыг харуулсан.
Эх сурвалж: ZDI
