Macworld сообщает о выигрышном «взломе», заявленном Шейном Маколи и Дино Дай Зови на конкурсе Hack a Mac на CanSecWest на этой неделе.

Конференция и конкурс проходили с 18 по 20 апреля в Ванкувере, Британская Колумбия:

Организаторы CanSecWest предоставят MacBook с собственной точкой доступа и всеми установленными обновлениями безопасности, но без дополнительного программного обеспечения или настроек безопасности. Посетители смогут подключаться к машинам через точку доступа по Ethernet или Wi-Fi, согласно веб-сайту CanSecWest.

Как и планировалось изначально, правила конкурса «взломай Мак» были смягчены в пятницу после того, как в предыдущие дни никто не выиграл конкурс. В смягченных правилах был предоставлен URL-адрес, который выявил уязвимость Safari на «специально сконструированной веб-странице», что позволило хакеру получить доступ к командной строке MacBook.

URL открывал пустую страницу, но выявил уязвимость в обработке ввода в Safari, сказал Комо. Злоумышленник мог использовать эту уязвимость различными способами, но Ди Зови использовал ее для открытия бэкдора, который дал ему доступ ко всему на компьютере, сказал Комо.

Согласно Matasano, последнее обновление безопасности Apple не устраняет эту конкретную проблему с Safari.