L'investigador de seguretat guanya 100.000 dòlars per l'explotació de Safari al concurs de pirateria Pwn2Own

Cada any, la Zero Day Initiative acull un concurs de pirateria informàtica 'Pwn2Own' on els investigadors de seguretat poden guanyar diners per trobar vulnerabilitats greus en plataformes principals com Windows i macOS.

Aquest esdeveniment virtual de Pwn2Own del 2021 va començar a principis d'aquesta setmana i va incloure 23 intents de pirateria separats en 10 productes diferents, inclosos navegadors web, virtualització, servidors i molt més. L'esdeveniment Pwn2Own d'enguany s'ha retransmès en directe a YouTube, un acte de tres dies que abasta diverses hores al dia.

Els productes d'Apple no estaven molt enfocats a Pwn2Own 2021, però el primer dia, Jack Dates de RET2 Systems va executar una explotació de dia zero de Safari al nucli i es va guanyar 100.000 dòlars. Va utilitzar un desbordament d'enters a Safari i una escriptura OOB per obtenir l'execució de codi a nivell del nucli, tal com es mostra al tuit següent.

Felicitats Jack! Aconseguint un Apple Safari amb 1 clic al Kernel Zero-day a les # Pwn2Own 2021 en nom de RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Sistemes RET2 (@ret2systems) 6 d'abril de 2021

Els investigadors holandesos Daan Keuper i Thijs Alkemade, per exemple, van demostrar un defecte greu de Zoom. El duet va explotar un trio de defectes per aconseguir el control total d'un ordinador objectiu mitjançant l'aplicació Zoom sense interacció de l'usuari.

Encara estem confirmant els detalls del #Zoom explotar amb Daan i Thijs, però aquí hi ha un millor gif de l'error en acció. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) 7 d'abril de 2021