Dwie groźne luki w Safari narażają użytkowników przeglądarki Apple na niebezpieczeństwo i nie zostały jeszcze załatane
Zespół badaczy znalazł dwie groźne luki w przeglądarce Safari, które nie zostały jeszcze załatane przez Apple. Wady zostały odkryte podczas Tianfu Cup w Chinach, konkursu hakerskiego, w którym eksperci ds. bezpieczeństwa wygrywają nagrody za znalezienie błędów i luk, które mogą być wykorzystane przez hakerów.
W ramach konkursu Apple poprosił uczestników o zidentyfikowanie możliwych wad w przeglądarce Safari działającej na 13-calowym MacBooku Pro i iPhonie 11 Pro z systemem operacyjnym zaktualizowanym do iOS 14. Zespół, który odkrył potencjalnie zagrażające bezpieczeństwu exploity, otrzymał nagrodę w wysokości 420 000 USD i przekazał firmie Apple wskazówki dotyczące opracowania poprawek i łatek bezpieczeństwa. Obecnie firma z Cupertino pracuje nad załataniem dwóch luk, które narażają jej użytkowników na ataki złośliwych hakerów.
Safari, dwie luki odkryte w konkursie
Zespoły biorące udział w konkursie Tianfu Cup badały luki w zabezpieczeniach przeglądarki Safari firmy Apple, skupiając się na zdalnym adresie URL, który mógł pozwolić atakującym na kontrolowanie przeglądarki lub urządzenia MacBook Pro za pomocą ataku RCE (Remote Code Execution), oferując 40 000 dolarów dla tych, którym się to udało. Jeśli oprócz ataku RCE zespołowi udało się przeprowadzić wyciek z piaskownicy, nagroda wzrastała do 60 000 USD.
Jeśli chodzi o analizę bezpieczeństwa Safari na iPhonie 11 Pro z systemem iOS 14, zespoły miały za zadanie spróbować przeprowadzić ataki RCE, omijając jednocześnie zabezpieczenia PAC, a za sukces otrzymywały następujące nagrody: 120 USD.120 000 dolarów za atak RCE, 180 000 dolarów za dodanie wycieku z piaskownicy i wreszcie 300 000 dolarów za zdalny jailbreak.
Apple pracuje nad lukami do załatania
Dwie poważne luki zostały wytknięte przez Tianfu Cup dla Apple, ale szczegóły dotyczące rodzaju exploitów nie zostały ujawnione. Dopiero firma z Cupertino otrzymała szczegółowe informacje od zespołów bezpieczeństwa na temat rodzaju usterki, która ma zostać naprawiona, a teraz deweloperzy pracują nad łatkami, które mają zostać wydane w nowej aktualizacji eliminującej problem.