19-я ежегодная конференция по безопасности CanSecWest проходит в Ванкувере, Канада, включая ежегодный конкурс хакеров Pwn2Own, и на данный момент обнаружены две уязвимости нулевого дня в Safari на macOS.

Конкурс стартовал в среду, когда исследователи безопасности Амат Кама и Ричард Чжу объединились для атаки на Safari. Дуэт успешно взломал браузер и вышел из песочницы, используя комбинацию целочисленного переполнения, переполнения кучи и метода перебора, заработав за это 55 000 долларов.

Позже в тот же день троица исследователей: Никлас Баумштарк, Лука Тодеско и Бруно Кейт — нацелилась на Safari с повышением привилегий в ядре. Они продемонстрировали полный компромисс системы, но это была лишь частичная победа, поскольку Apple, предположительно, уже знала об одной из ошибок, использованных в демонстрации. Тем не менее, они получили 45 000 долларов.

В общей сложности участникам первого дня Pwn2Own было присуждено 240 000 долларов. Второй день соревнований в настоящее время продолжается. Все эксплойты, обнаруженные во время конкурса, сообщаются соответствующим компаниям, таким как Apple, чтобы они могли быть исправлены.