Ang Security Researcher ay Kumita ng $100,000 para sa Safari Exploit sa Pwn2Own Hacking Contest

Bawat taon, ang Zero Day Initiative ay nagho-host ng 'Pwn2Own' na paligsahan sa pag-hack kung saan ang mga mananaliksik ng seguridad ay maaaring kumita ng pera para sa paghahanap ng mga seryosong kahinaan sa mga pangunahing platform tulad ng Windows at macOS.

Ang 2021 Pwn2Own virtual event na ito ay nagsimula nang mas maaga sa linggong ito at nagtatampok ng 23 magkahiwalay na pagtatangka sa pag-hack sa 10 iba't ibang produkto kabilang ang mga web browser, virtualization, server, at higit pa. Isang tatlong araw na pakikipag-ugnayan na tumatagal ng maraming oras sa isang araw, ang kaganapang Pwn2Own ngayong taon ay na-livestream sa YouTube.

Ang mga produkto ng Apple ay hindi masyadong na-target sa Pwn2Own 2021, ngunit sa unang araw, ang Jack Dates mula sa RET2 Systems ay nagsagawa ng Safari sa kernel zero-day exploit at nakakuha ng kanyang sarili ng $100,000. Gumamit siya ng integer overflow sa Safari at isang OOB write para makakuha ng kernel-level code execution, gaya ng na-demo sa tweet sa ibaba.

Congratulations Jack! Pag-landing ng 1-click na Apple Safari sa Kernel Zero-day sa # Pwn2Own 2021 sa ngalan ng RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) Abril 6, 2021

Isang seryosong Zoom flaw ang ipinakita ng mga Dutch researcher na sina Daan Keuper at Thijs Alkemade, halimbawa. Sinamantala ng duo ang isang trio ng mga kapintasan upang makakuha ng kabuuang kontrol sa isang target na PC gamit ang Zoom app na walang pakikipag-ugnayan ng user.

Kinukumpirma pa rin namin ang mga detalye ng #Mag-zoom pagsamantalahan kasama sina Daan at Thijs, ngunit narito ang isang mas magandang gif ng bug na kumikilos. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) Abril 7, 2021