Il ricercatore di sicurezza guadagna $ 100.000 per lo sfruttamento di Safari nel concorso di hacking Pwn2Own

Ogni anno, la Zero Day Initiative ospita un concorso di hacking 'Pwn2Own' in cui i ricercatori di sicurezza possono guadagnare denaro per trovare gravi vulnerabilità nelle principali piattaforme come Windows e macOS.

Questo evento virtuale Pwn2Own del 2021 è iniziato all'inizio di questa settimana e ha caratterizzato 23 tentativi di hacking separati su 10 prodotti diversi tra cui browser Web, virtualizzazione, server e altro ancora. L'evento Pwn2Own di quest'anno è stato trasmesso in streaming live su YouTube per tre giorni che durano più ore al giorno.

I prodotti Apple non sono stati pesantemente presi di mira in Pwn2Own 2021, ma il primo giorno Jack Dates di RET2 Systems ha eseguito un exploit zero-day da Safari a kernel e si è guadagnato $ 100.000. Ha usato un integer overflow in Safari e una scrittura OOB per ottenere l'esecuzione del codice a livello di kernel, come mostrato nel tweet di seguito.

Congratulazioni Jack! Atterraggio di un Apple Safari con 1 clic al kernel Zero-day a # Pwn2Proprio 2021 per conto di RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Sistemi RET2 (@sistemi ret2) 6 aprile 2021

Un grave difetto di Zoom è stato dimostrato, ad esempio, dai ricercatori olandesi Daan Keuper e Thijs Alkemade. Il duo ha sfruttato un trio di difetti per ottenere il controllo totale di un PC di destinazione utilizzando l'app Zoom senza alcuna interazione da parte dell'utente.

Stiamo ancora confermando i dettagli del #Ingrandisci exploit con Daan e Thijs, ma ecco una migliore gif del bug in azione. # Pwn2Proprio #PopCalc pic.twitter.com/nIdTwik9aW — Iniziativa Zero Day (@thezdi) 7 aprile 2021