Эксперт по безопасности получил $100 тысяч за обнаруженную уязвимость в Safari

Специалист по безопасности из RET2 Systems Джек Дэйтс (Jack Dates) получил награду в $100 тысяч за обнаружение новой уязвимости в браузере Safari. Эксплойт нулевого дня обнаружен на мероприятии Pwn2Own 2021.

9to5mac

Эксплойт нулевого дня — это недавно обнаруженная уязвимость, о которой ещё неизвестно разработчикам. Дэйтсу удалось добиться выполнения кода на уровне ядра через Safari, путём целочисленного переполнения. Таким образом ему удалось получить полный доступ ко всему компьютеру.

Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at #Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs

— RET2 Systems (@ret2systems) April 6, 2021

Это не единственная крупная уязвимость, обнаруженная на мероприятии. Разработчики Даан Койпер (Daan Keuper) и Тийс Алкемаде (Thijs Alkemade) нашли в сервисе видеоконференций Zoom цепочку из трёх ошибок, позволяющую добиться выполнения необходимых задач в чужой системе. При этом участие жертвы не требуется. Разработчики получили награду в $200 тысяч на двоих.

Как отмечает Macrumors, участники Pwn2Own 2021 суммарно получили награду в размере $1,2 миллиона. Проведение мероприятия позволяет разработчикам исправить обнаруженные уязвимости в течение 90 дней.

Источники: