Hội nghị bảo mật CanSecWest thường niên lần thứ mười bảy đang diễn ra tại trung tâm thành phố Vancouver, British Columbia, nơi các nhà nghiên cứu đang cạnh tranh trong cuộc thi hack máy tính Pwn2Own kỷ niệm 10 năm với số tiền hơn $1 hàng triệu giải thưởng.
Kết quả ngày đầu tiên đã được công bố với một số thành công liên quan đến khai thác Mac đã xuất hiện trong danh sách thành tích. Các tin tặc độc lập Samuel Groß và Niklas Baumstark đã đạt được thành công một phần và kiếm được 28.000 đô la sau khi nhắm mục tiêu Safari với sự leo thang để root trên macOS, cho phép họ cuộn tin nhắn trên MacBook Pro Touch Bar.
Khi giành chiến thắng một phần, Samuel Groß (@ 5aelo) và Niklas Baumstark (@_niklasb) kiếm được một số điểm phong cách bằng cách để lại một tin nhắn đặc biệt trên thanh cảm ứng của máy Mac. Họ đã sử dụng một use-after-free (UAF) trong Safari kết hợp với ba lỗi logic và một tham chiếu con trỏ rỗng để khai thác Safari và nâng cấp lên root trong macOS. Họ vẫn kiếm được $ 28,000 USD và 9 Master of Pwn điểm.
Cuối ngày, Phòng thí nghiệm nghiên cứu bảo mật Chaitin cũng nhắm mục tiêu Safari bằng việc leo thang để root trên macOS, tìm thấy thành công khi sử dụng tổng cộng sáu lỗi trong chuỗi khai thác của họ, bao gồm “tiết lộ thông tin trong Safari, bốn loại lỗi nhầm lẫn trong trình duyệt và một UAF trong WindowServer “. Những nỗ lực kết hợp đã mang lại cho nhóm 35.000 đô la.
Các đội tham gia đã kiếm được tổng cộng 233.000 đô la giải thưởng vào ngày đầu tiên, bao gồm 105.000 đô la hàng đầu do Tencent Security kiếm được, theo các chi tiết được công bố. Các phần mềm khác được các thí sinh nhắm mục tiêu thành công bao gồm Adobe Reader, Ubuntu Desktop và Microsoft Edge trên Windows.
Apple các đại diện đã tham dự cuộc thi Pwn2Own trong quá khứ và các bên bị ảnh hưởng được thông báo về tất cả các lỗ hổng bảo mật được phát hiện trong cuộc thi để vá chúng. Ngày thứ hai của Pwn2 bắt đầu vào hôm nay lúc 8: 30 giờ sáng Thái Bình Dương và sẽ liên quan đến các nỗ lực khai thác bổ sung đối với macOS và Safari.
Nguồn: macrumors
