අමායා ටොමන් වයිට් හැට් හැකර්වරු වැන්කුවර් හි පැවති ආරක්ෂක සමුළුවකදී සෆාරි බ්රවුසරයේ ආරක්ෂක දෝෂ දෙකක් සොයා ගත්හ. ඔවුන්ගෙන් එක් අයෙකුට ඔබේ මැක්හි සම්පූර්ණ පාලනය ලබා ගැනීමේ අවස්ථාව දක්වා එහි අවසර වෙනස් කිරීමට පවා හැකියාව ඇත. සොයාගත් දෝෂවලින් පළමුවැන්න සෑන්ඩ්බොක්ස් වලින් ඉවත් වීමට සමත් විය - යෙදුම්වලට ඔවුන්ගේම සහ පද්ධති දත්ත පමණක් ප්රවේශ කිරීමට ඉඩ සලසන අතථ්ය ආරක්ෂක පියවරකි.
තරඟය ආරම්භ කරන ලද්දේ Amat Cama සහ Richard Zhu සාමාජිකයින් වූ Fluoroacetate කණ්ඩායම විසිනි. කණ්ඩායම විශේෂයෙන් Safari වෙබ් බ්රවුසරය ඉලක්ක කර, එයට සාර්ථකව පහර දී වැලිපිල්ලෙන් ඉවත් විය. සම්පූර්ණ මෙහෙයුම සඳහා කණ්ඩායම සඳහා වෙන් කළ මුළු කාල සීමාවම පාහේ ගත විය. කේතය සාර්ථක වූයේ දෙවන වතාවට පමණක් වන අතර, දෝෂය පෙන්වීමෙන් කණ්ඩායම Fluoroacetate $55K සහ Master of Pwn මාතෘකාව වෙත ලකුණු 5ක් උපයා ගත්තේය.
දෙවන දෝෂය මගින් Mac එකක root සහ kernel ප්රවේශයට ඉඩ දී ඇති බව අනාවරණය විය. දෝෂය phoenhex & qwerty කණ්ඩායම විසින් නිරූපණය කරන ලදී. ඔවුන්ගේම වෙබ් අඩවියක් පිරික්සීමේදී, කණ්ඩායම් සාමාජිකයින් JIT දෝෂයක් සක්රිය කිරීමට සමත් වූ අතර පසුව සම්පූර්ණ පද්ධති ප්රහාරයකට තුඩු දෙන කාර්යයන් මාලාවක්. Apple විසින් එක් දෝෂයක් ගැන දැන සිටි නමුත්, දෝෂ නිරූපණය කිරීමෙන් සහභාගිවන්නන්ට $45 සහ Master of Pwn මාතෘකාවට ලකුණු 4ක් ලැබිණි.
සම්මන්ත්රණයේ සංවිධායකයා වන්නේ Trend Micro එහි Zero Day ආරම්භයේ (ZDI) බැනරය යටතේය. මෙම වැඩසටහන නිර්මාණය කර ඇත්තේ හැකර්වරුන් වැරදි පුද්ගලයන්ට විකිණීම වෙනුවට පුද්ගලිකව අවදානම් සමාගම් වෙත වාර්තා කිරීමට දිරිගැන්වීම සඳහා ය. මූල්ය ත්යාග, පිළිගැනීම් සහ මාතෘකා හැකර්වරුන් සඳහා අභිප්රේරණය විය යුතුය.
උනන්දුවක් දක්වන පාර්ශ්ව සැපයුම්කරු පිළිබඳ අවශ්ය දත්ත එකතු කරන ZDI වෙත අවශ්ය තොරතුරු සෘජුවම යවයි. මුලපිරීම මගින් සෘජුවම සේවයේ යොදවා ඇති පර්යේෂකයන් විශේෂ පරීක්ෂණ රසායනාගාරවල උත්තේජක පරීක්ෂා කර පසුව සොයා ගන්නා තැනැත්තාට ත්යාගයක් පිරිනමනු ඇත. එය අනුමත වූ වහාම එය ගෙවනු ලැබේ. පළමු දිනය තුළ, ZDI විශේෂඥයින්ට ඩොලර් 240 කට වඩා ගෙවා ඇත.
Safari යනු හැකර්වරුන් සඳහා පොදු පිවිසුම් ස්ථානයකි. උදාහරණයක් ලෙස පසුගිය වසරේ පැවති සම්මන්ත්රණයේදී MacBook Pro හි ස්පර්ශ තීරුව පාලනය කිරීමට බ්රවුසරය භාවිතා කරන ලද අතර එදිනම සහභාගී වූවන් බ්රවුසරය මත පදනම් වූ වෙනත් ප්රහාර පෙන්නුම් කළහ.
මූලාශ්රය: ZDI
