Hackers exploram brechas no Safari e tomam controle de Mac na Pwn2Own 2019

Está oficialmente aberta em Vancouver (Canadá) a Pwn2Own 2019, edição deste ano da conferência de hackers que coloca os especialistas em emocionantes desafios em busca das invasões mais difíceis ou improváveis de sistemas digitais. Como de costume, quem não saiu incólume do processo foi o navegador Safari, que teve duas brechas inéditas exploradas e, em um dos casos, permitiu até mesmo acesso completo ao Mac em que habitava.

A falha mais notável foi explorada pelo grupo Phoenhex & Qwerty: os hackers conseguiram transpassar os mecanismos de defesa do navegador com uma série de processos iniciados com um bug JIT (just-in-time). No fim das contas, a equipe conseguiu ter acesso não só à root (raiz), mas até mesmo ao kernel (núcleo) do Mac em questão — ou seja, controle completo sobre todos os aspectos da máquina.

O grupo faturou US$45.000 pela descoberta e levou para casa o Mac utilizado para operar a invasão; o prêmio não foi maior porque a Apple já estava ciente de um dos bugs utilizados na empreitada — e, portanto, deverá corrigi-lo em breve.

A segunda falha explorada com sucesso no Safari foi obra do grupo Fluoroacetate: eles conseguiram escapar da sandbox do navegador com uma técnica de estouro de inteiros (integer overflow). A equipe faturou US$55.000 — e poderia ter ganhado mais dinheiro ainda caso a técnica não tivesse ocupado quase o tempo inteiro cedido para a operação; como trata-se de um ataque de força bruta (por tentativa e erro), muito tempo se passou enquanto a máquina tentava executar o código correto.

Outros softwares e equipamentos atacados com sucesso no primeiro dia da Pwn2Own incluíram o VMWare Workstation e o Oracle VirtualBox; no total, foram distribuídos US$240.000 em prêmios — e os desafios continuam a todo vapor por lá.

via AppleInsider

Taggeado:

Posts relacionados

Comentários