Pwn2Ownの年次会議が開催されており、Safariもセキュリティ研究者から脆弱性を議論されています。
Safariは、2つの悪用方法で突破される?
トレンドマイクロのゼロデイイニシアチブウェブサイトに掲載された結果によると、MWR LabsのGeorgi Geshev、Alex Plaskett、Fabi Beterkeは2つの脆弱性を利用してSafariを悪用し、最終的にサンドボックスから脱出しました。これは、理論的にはSafari以外のアクセス許可にアクセスできるということを意味します。
MWR Labsチームは最終的に$ 55,000とPwnポイントの5マスターを獲得しました。
MWR Labs Alex Plaskett、Georgi Geshev、Fabi Beterke は、サンドボックスエスケープでApple Safariをターゲットにしました。
その結果、チームは2つの脆弱性を利用してSafariを悪用し、サンドボックスから脱出することができました。これにより、彼らは賞金の55,000ドルとPwnポイントの5マスターを獲得しています。
別のセッションでは、Ret2 SystemsのNick Burnett、Markus Gaasedelen、Patrick BiernatがmacOSカーネルの権限脆弱性を標的に、Safariをターゲットにしていました。チームは最終的に割り当てられた時間に攻撃を完了することはできませんでしたが、時間外でそれを有効にすることがgできました。
MacOSカーネルEoPでApple Safariをターゲットにした、Ret2 Systems、Inc.のMarkus Gaasedelen、Nick Burnett、Patrick Biernatは、参加者は割り当てられた時間内に彼の悪用を働かせることがでず、失敗に終わりました。
2007年に開始されたPwn2Ownカンファレンスの最も重要な側面は、アップルのような開発者に悪用される方法が通知され、ソフトウェアの欠陥である可能性のあるパッチを修正する機会を与えることにあります。