Nel corso della sesta CanSecWest in corso a Vancouver, annuale conferenza dedicata alla sicurezza, ricercatori che partecipano all’hacking contest noto come Pwn2Own, hanno presentato vulnerabilità in OS X e Safari. Il ricercatore JungHoon Lee ha ottenuto un premio di 60.000 dollari individuando exploit sia nel browser, sia nel sistema operativo di Apple. Le vulnerabilità dimostrate sono quattro, una specifica di Safari e tre invece di OS X.
Lee ha dimostrato la possibilità di eseguire codice malevolo in Safari ottenendo i privilegi di root sfruttando, tra le altre cose, un meccanismo di heap overflow, in pratica “ingolfando” il sistema al punto da far superare la memoria massima allocabile e indebolire alcuni meccanismi di difesa intrinseci e sovrascrivendo in modo arbitrario alcune locazioni di memoria.
I partecipanti alla sfida di hacking hanno in totale portato a casa 282.500 dollari di premi, dimostrando vulnerabilità in Adobe Flash, Google Chrome, Microsoft Edge su Windows.
Come già accaduto in passato, Apple e gli altri produttori, rilasceranno probabilmente a breve le patch per porre rimedio alle vulnerabilità individuate. Apple dovrebbe rilasciare tra pochi giorni l’update a OS X 10.11.4. Non è chiaro se questo include già le patch per le vulnerabilità dimostrate dai ricercatori o se sarà necessario attendere un futuro update di sicurezza.
