Está acontecendo neste momento em Vancouver, no Canadá, a conferência anual de segurança CanSecWest — e, com ela, uma das maiores feiras de hackers do mundo, a Pwn2Own 2018, onde especialistas competem por prêmios em dinheiro (que somam até US$2 milhões!) na busca por brechas e pelo controle de sistemas operacionais e softwares.
Assim como aconteceu em 2016 e 2017, nosso velho e bom Safari — e o macOS como um todo — acabou saindo como uma das vítimas da competição. O hacker Samuel “5aelo” Groß, do grupo phoenhex, explorou um bug relacionado à otimização JIT no navegador da Apple; ele combinou essa brecha com um bug lógico do macOS, para sair do sandbox, e com uma mudança no kernel do sistema para tomar controle do browser.
Para sinalizar a conquista, Groß deixou uma mensagem na Touch Bar do MacBook Pro em que estava trabalhando. O hacker recebeu um prêmio de US$65 mil e seis pontos na busca para o título “Master of Pwn”, que nomeia o hacker mais bem-sucedido da feira. A brecha descoberta por Groß já foi devidamente relatada à Apple e deverá ser fechada muito em breve.
A Pwn2Own — que, ontem, viu serem invadidos também sistemas da Microsoft e da Oracle — terá hoje o seu segundo dia de sessões e novas brechas poderão ser descobertas no mundo da Maçã e em outras partes do universo tecnológico. Nós, claro, ficaremos de olho.
via MacRumors
Atualização 16/03/2018 às 15:10
No segundo dia da Pwn2Own, o Safari continuou sendo um alvo (relativamente) fácil para os hackers e equipes lá presentes — tanto é que mais duas brechas do navegador foram exploradas hoje por um mesmo time.
Os hackers Georgi Geshev, Alex Plaskett e Fabi Beterke, do grupo MWR Labs, utilizaram duas vulnerabilidades do browser da Apple para sair da sandbox e tomar controle sistema; com a conquista, eles ganharam US$55 mil e cinco pontos na busca pelo título de “Master of Pwn”.
Enquanto isso, outra equipe — composta por Markus Gaasedelen, Nick Burnett e Patrick Biernat, da Ret2 Systems — conseguiu tomar controle do sistema aproveitando-se de uma vulnerabilidade no kernel do macOS e aplicando-a contra o Safari. Entretanto, o desafio foi completado apenas depois do tempo proposto (meia-hora) e o time não foi premiado.
No total, essa edição da Pwn2Own distribuiu US$267 mil em prêmios, com o hacker Richard Zhu sendo nomeado “Master of Pwn” do evento e levando para casa US$120 mil. Nada mau, hein?
via AppleInsider