MacRumors

Исследователи обнаружили уязвимости macOS и Safari на Pwn2Own 2017

Четверг, 16 марта, 2017, 02:13. Tim Hardwick

Семнадцатая ежегодная конференция по безопасности CanSecWest проходит в центре Ванкувера, Британская Колумбия, где исследователи соревнуются в 10-м юбилейном конкурсе по взлому компьютеров Pwn2Own за призы на сумму более 1 миллиона долларов.

Результаты первого дня уже опубликованы на сайте Zero Day Initiative, и в списке достижений уже появились несколько успешных эксплойтов, связанных с Mac. Независимые хакеры Сэмюэл Гросс и Никлас Баумстарк добились частичного успеха и заработали 28 000 долларов, нацелившись на Safari с эскалацией до root в macOS, что позволило им вывести сообщение на сенсорной панели MacBook Pro.

C6 w vqU8AA hjw

В частичной победе Сэмюэл Гросс (@5aelo) и Никлас Баумстарк (@_niklasb) зарабатывают очки стиля, оставляя специальное сообщение на сенсорной панели Mac. Они использовали уязвимость использования после освобождения (UAF) в Safari в сочетании с тремя логическими ошибками и разыменованием нулевого указателя для эксплуатации Safari и повышения привилегий до root в macOS. Тем не менее, им удалось заработать 28 000 долларов США и 9 очков Master of Pwn.

Позже в тот же день лаборатория безопасности Chaitin Security Research Lab также нацелилась на Safari с эскалацией до root в macOS, добившись успеха, используя в общей сложности шесть ошибок в своей цепочке эксплойтов, включая «раскрытие информации в Safari, четыре ошибки смешения типов в браузере и UAF в WindowServer». Совокупные усилия принесли команде 35 000 долларов.

По опубликованным данным, команды-участники заработали в первый день призы на общую сумму 233 000 долларов, в том числе 105 000 долларов получила Tencent Security. Другое программное обеспечение, успешно атакованное конкурсантами, включает Adobe Reader, Ubuntu Desktop и Microsoft Edge на Windows.

Представители Apple в прошлом посещали конкурс Pwn2Own, и затронутые стороны уведомляются обо всех обнаруженных в ходе конкурса уязвимостях для их исправления. Второй день Pwn2Own начинается сегодня в 8:30 утра по тихоокеанскому времени и будет включать дополнительные попытки эксплуатации против macOS и Safari.

Руководства

iOS 18.5

Обои Pride, спутниковая связь для iPhone 13, улучшения экранного времени и другое.

Руководство по Apple Intelligence

Apple Intelligence — это то, как Apple называет свой набор функций искусственного интеллекта. Вот все, что мы знаем.

Руководство по Image Playground

Image Playground — это специальное приложение Apple для создания изображений, которое может создавать мультяшные картинки на основе текстовых описаний.

iPhone Mirroring не работает?

Если у вас возникли проблемы с iPhone Mirroring, выполните следующие действия, чтобы оно снова заработало.

• iPhone 16 против 16 Pro

• iPhone 16 и iPhone 16 Pro: как использовать все новые функции

• 50 Новых функций macOS Sequoia

• watchOS 11: Все новые функции и изменения

• Что нового в Сообщениях iOS 18

• Изменения в Фото iOS 18

• Новые функции AirPods в iOS 18

• 21 совет по экономии времени для пользователей iPhone

• 14 советов по macOS, которые облегчат вашу жизнь

• AirPod работает только один?

Другие руководства

Будущие Продукты

iOS 26

Сентябрь 2025

Крупнейшее обновление дизайна с момента выхода iOS 7 с Liquid Glass, а также новые функции Apple Intelligence и улучшения в Сообщениях, Телефоне, Safari, Быстрых командах и многом другом. Бета-версия для разработчиков доступна сейчас перед публичной бета-версией в июле.

iPadOS 26

Сентябрь 2025

iPadOS 26 представляет переработку дизайна Liquid Glass от Apple, новые приложения Телефон, Фото, Игры и Журнал и многое другое.