Güvenlik Araştırmacısı, Pwn2Own Hacking Yarışmasında Safari Exploit için 100.000 $ Kazandı

Zero Day Initiative, her yıl, güvenlik araştırmacılarının Windows ve macOS gibi büyük platformlarda ciddi güvenlik açıklarını bulmak için para kazanabilecekleri bir 'Pwn2Own' bilgisayar korsanlığı yarışmasına ev sahipliği yapıyor.

Bu 2021 Pwn2Own sanal etkinliği bu haftanın başlarında başladı ve web tarayıcıları, sanallaştırma, sunucular ve daha fazlası dahil olmak üzere 10 farklı üründe 23 ayrı bilgisayar korsanlığı girişimi içeriyordu. Günde birkaç saate yayılan üç günlük bir olay olan bu yılki Pwn2Own etkinliği YouTube'da canlı yayınlandı.

Apple ürünleri, Pwn2Own 2021'de yoğun bir şekilde hedef alınmadı, ancak birinci günde, RET2 Systems'den Jack Dates, Safari'den çekirdek sıfır gün açığından yararlandı ve kendisine 100.000 $ kazandı. Aşağıdaki tweet'te gösterildiği gibi, Safari'de bir tamsayı taşması ve çekirdek düzeyinde kod yürütme elde etmek için bir OOB yazması kullandı.

Tebrikler Jack! Tek tıklamayla Apple Safari'yi Çekirdeğe Sıfırlama # Pwn2Own RET2 adına 2021: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Sistemleri (@ret2systems) 6 Nisan 2021

Örneğin Hollandalı araştırmacılar Daan Keuper ve Thijs Alkemade tarafından ciddi bir Zoom kusuru gösterildi. İkili, kullanıcı etkileşimi olmadan Zoom uygulamasını kullanarak hedef bilgisayarın tam kontrolünü ele geçirmek için bir dizi kusurdan yararlandı.

Hâlâ ayrıntılarını doğruluyoruz. #Yakınlaştır Daan ve Thijs ile kullanın, ancak işte hatanın daha iyi bir gif'i iş başında. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Sıfır Gün Girişimi (@thezdi) 7 Nisan 2021