Шестнадцатая ежегодная конференция по безопасности CanSecWest проходит в центре Ванкувера, Британская Колумбия, и исследователи, участвующие в конкурсе хакинга компьютеров Pwn2Own, уже обнаружили несколько уязвимостей в OS X и веб-браузере Safari на настольных компьютерах.
В первый день мероприятия независимый исследователь безопасности Чжунхун Ли заработал 60 000 долларов США, успешно использовав уязвимости как в OS X, так и в Safari. По данным фирмы безопасности Trend Micro, Ли обнаружил в общей сложности четыре уязвимости, включая один эксплойт в Safari и еще три уязвимости в операционной системе OS X.
Чжунхун Ли (lokihardt): продемонстрировал успешную атаку с выполнением кода на Apple Safari для получения прав root. Атака состояла из четырех новых уязвимостей: уязвимости «use-after-free» в Safari и трех дополнительных уязвимостей, включая переполнение кучи для повышения привилегий до root. Эта демонстрация принесла 10 очков Master of Pwn и 60 000 долларов США.
Тем временем, согласно отчету, группа Tencent Security Team Shield успешно выполнила код, который позволил им получить права root в Safari, используя «две уязвимости типа use-after-free», одна из которых находится в Safari, а другая — в «привилегированном процессе». Исследователи получили приз в размере 40 000 долларов США.
Пять команд-участниц заработали в первый день в общей сложности 282 500 долларов США призов, в том числе рекордные 132 500 долларов США, заработанные командой 360Vulcan Team, согласно отчету. Другие веб-браузеры и плагины, которые были успешно атакованы, включают Adobe Flash, Google Chrome и Microsoft Edge в Windows.
Представители Apple уже посещали Pwn2Own, и пострадавшие стороны уведомляются обо всех обнаруженных в ходе конкурса уязвимостях для их исправления. Второй день Pwn2Own начался сегодня в 9:00 по тихоокеанскому времени и будет включать дополнительные попытки эксплуатации уязвимостей OS X и Safari.
