Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Individuate due gravi vulnerabilità in Safari per Mac

Individuate due gravi vulnerabilità in Safari per Mac

Pubblicità

Nel corso della conferenza Pwn2Own dedicata alla sicurezza che si svolge a Vancouver, due team di hacker white-hat (termine per indicare gli hacker “etici, in altre parole ricercatori che lavorano in contrapposizione a chi viola illegalmente sistemi informatici), hanno individuato due vulnerabilità zero-day in Safari, una delle quali consentirebbe di controllare in remoto il Mac.

Il primo exploit (codice che sfrutta una vulnerabilità di un sistema permettendo l’esecuzione di codice malevolo, tipicamente allo scopo di acquisire i privilegi di amministratore della macchina), è in grado di aggirare la sandbox di macOS, la funzione del sistema operativo che fa in modo che ogni app resti sempre nei propri confini d’azione.

Il team denominato “Fluoroacetate” (Amat Cama e Richard Zhu) – ha preso di mira il browser Safari, individuando un exploit che consente di aggirare la Sandbox sfruttando una vulnerabilità di Integer overflow (errore che sfrutta peculiarità dell’aritmetica dei calcolatori effettuando operazioni troppo grandi perché siano rappresentati con una variabile intera) e Heap overflow (altra particolare condizioni di errore).

La prova ha richiesto quasi tutto il tempo a disposizione giacché sono stati sfruttati metodi di forza bruta per comprendere in che modo aggirare la sandbox, con il codice riavviato fino a individuare la soluzione. La dimostrazione ha permesso al team di guadagnare il premio di 50.000 dollari e ottenere 5 punti ai fini di vincere il “Master of Pwn”.

Il secondo exploit ha consentito di andare oltre, permettendo di ottenere sia i permessi di root, sia l’accesso al kernel. Gli hacker “white-hat” denominati phoenhex & il qwerty team hanno scelto Safari come target, riuscendo a ottenere l’elevazione dei privilegi che permette di effettuare operazioni a livello del kernel.

Grazie ad un sito web creato ad hoc è stato possibile sfruttare un bug nel JIT (compilatore just-in-time) e letture out-of-bound dell’heap che hanno consentito di ottenere i permessi di root e di accesso al kernel sfruttando un bug Time-of-Check-Time-of-Use (TOCTOU). I ricercatori hanno vinto solo in parte perché Apple era già a conoscenza di uno dei bug usati nella dimostrazione ma hanno ad ogni modo guadagnato 45.000 dollari e ottenuto 4 punti per il “Master of Pwn”.

phoenhex e il qwerty team mostrano l'exploit in Safari
phoenhex e il qwerty team mostrano l’exploit in Safari

L’evento in questione è ospitato da Trend Micro nell’ambito della cosiddetta “Zero Day Initiative” (ZDI), programma che incoraggia i ricercatori indipendenti a identificare vulnerabilità sconosciute su sistemi operativi e software di aziende quali Apple, Google e Samsung, e li ricompensa con premi in denaro. A questo indirizzo i dettagli delle due vulnerabilità

Rappresentanti di Apple nelle edizioni passate hanno partecipato alla competizione Pwn2Own; le vulnerabilità dimostrate sono state corrette nei giorni successivi. Le aziende hanno 90 giorni di tempo per risolvere i problemi individuati; passato questo tempo, le vulnerabilità vengono rese pubbliche.

A questo indirizzo trovate un nostro tutorial su come tenere al sicuro il Mac.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Black Friday

BOZZA PER LISTONE BLACK FRIDAY NON TOCCARE - macitynet.it

Per trovare le migliori occasioni di Black Friday Week, BlackFriday e CyberMonday: visitate la nostra pagina con tutte le offerte Black Friday costantemente aggiornata con tutte le news pubblicate e iscrivetevi ai nostri 2 canali telegram Offerte Tech e Oltre Tech per le offerte lampo e le offerte WOW che sono diverse ogni giorno e durano 16 ore.

Consultate il banner in alto nelle pagine di Macitynet sia nella versione mobile che desktop: vi mostreremo a rotazione gli sconti top.

Dalla 00.00 del 21 Novembre fino alla mezzanotte del 2 Dicembre vi mostriamo tutti i prodotti delle selezioni Apple, monitor, SDD etc. Nel corso delle ore anche l'elenco qui sotto si popolerà con i link agli articoli principali divisi per categorie.

Nota: I prezzi riportati in verde nelle offerte Amazon sono quelli realmente scontati e calcolati rispetto ai prezzi di listino oppure alla media dei prezzi precedenti. Il box Amazon riporta normalmente gli sconti rispetto al prezzo medio dell'ultimo mese o non riporta affatto lo sconto. Le nostre segnalazioni rappresentano una convenienza di acquisto e comunque controllate sempre il prezzo nella pagina di arrivo. Segnaliamo anche offerte dirette delle aziende.

Speciali

Apple

Video, Foto, Creatività

Memorie (SSD, HD, Micro SD, SD, RAM)

Audio e video streaming

Smartphone e Accessori

Computer e Accessori computer 

Gaming

Software

Domotica

Casa, Cucina e Giardinaggio

Sport e attività all'aperto, Salute

Prodotti Amazon e settori di offerte

Pubblicità

Ultimi articoli

Pubblicità