Pesquisador de segurança ganha US $ 100.000 pelo Safari Exploit no concurso de hacking Pwn2Own

A cada ano, a Zero Day Initiative hospeda um concurso de hacking 'Pwn2Own', onde pesquisadores de segurança podem ganhar dinheiro para encontrar vulnerabilidades graves em plataformas importantes como Windows e macOS.

Este evento virtual Pwn2Own de 2021 começou no início desta semana e contou com 23 tentativas de hacking separadas em 10 produtos diferentes, incluindo navegadores da web, virtualização, servidores e muito mais. Um caso de três dias que se estende por várias horas por dia, o evento Pwn2Own deste ano foi transmitido ao vivo no YouTube.

Os produtos da Apple não foram fortemente visados ​​no Pwn2Own 2021, mas no primeiro dia, Jack Dates da RET2 Systems executou um exploit Safari para kernel zero-day e ganhou $ 100.000. Ele usou um estouro de inteiro no Safari e uma gravação OOB para obter a execução de código no nível do kernel, conforme demonstrado no tweet abaixo.

Parabéns Jack! Conseguindo um Apple Safari com 1 clique no Kernel Zero-day em # Pwn2Own 2021 em nome de RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs - Sistemas RET2 (@ ret2systems) 6 de abril de 2021

Uma falha grave do Zoom foi demonstrada pelos pesquisadores holandeses Daan Keuper e Thijs Alkemade, por exemplo. A dupla explorou um trio de falhas para obter o controle total de um PC de destino usando o aplicativo Zoom sem interação do usuário.

Ainda estamos confirmando os detalhes do #Ampliação explorar com Daan e Thijs, mas aqui está um gif melhor do bug em ação. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW - Zero Day Initiative (@thezdi) 7 de abril de 2021