Alcune vulnerabilità individuate in Safari su macOS hanno permesso agli hacker che partecipano all’annuale competizione Pwn2Own di Vancouver di portare a casa un bel po’ di soldi. La competizione è al decimo anno e chiama a raccolta e premia i ricercatori di sicurezza per identificare le vulnerabilità nelle piattaforme software maggiormente bersagliate. Gli “hacker” (nel senso più nobile del termine) hanno a disposizione macchine con le ultime versioni dei sistemi operativi.
Samuel Groß e Niklas Baumstark hanno portato a casa 28.000 dollari, circa 26.000 euro. per avere individuato una falla in Safari che – sfruttando la tecnica che il browser usa per ripulire la memoria – ha consentito di scalare i privilegi in macOS; a dimostrazione della loro abilità sono riusciti a mostrare una scritta personalizzata sulla Touch Bar di un nuovo MacBook Pro.
Un altro team di hacker, denominato “Chaitin Tech”, ha individuato sei falle in Safari e macOS Sierra con le quali è stata dimostrata la possibilità di ottenere i permessi di root; l’impresa ha portato nelle tasche dei ricercatori 35.000 dollari.
Altri software e piattaforme prese (con successo) di mira sono: Adobe Reader su Windows, Ubuntu e Microsoft Edge. Nella seconda giornata sono stati distribuiti premi per falle individuate in Flash, Firefox e Microsoft Edge. Tutte le vulnerabilità sfruttate durante la competizione di hacking vengono segnalate ai rispettivi sviluppatori, in questo modo le società hanno modo e tempo di risolverle e di rilasciare aggiornamenti di sicurezza: solo dopo questo passaggio vengono rese di pubblico dominio. Lo stesso accadrà per tutte le falle e vulnerabilità scoperte in Safari su Mac già segnalate a Cupertino.
