Publicidade

Hackers encontram duas novas vulnerabilidades de "dia zero" no Safari

Por| 22 de Março de 2019 às 07h30

Link copiado!

Hackers encontram duas novas vulnerabilidades de "dia zero" no Safari
Hackers encontram duas novas vulnerabilidades de "dia zero" no Safari
Tudo sobre Apple

Uma competição de hackers em Vancouver, Canadá, descobriu duas vulnerabilidades de “dia zero” (ou seja, que existem desde o lançamento do programa) no Safari, o navegador de internet dos Macs da Apple. E uma dessas vulnerabilidades é perigosíssima, pois permitiria ao invasor controle total sobre a máquina.

A primeira das vulnerabilidades foi descoberta pelo time Fluorpacetate, que conseguiu usar a falha para sair do sandbox (uma “barreira” existente no macOS que permite que os apps instalados em um Mac não tenham acesso às bases de dados de outros aplicativos) e acessar qualquer dado do computador através do browser.

Já a segunda falha foi encontrada pelo time phoenhex & qwerty, que utilizou a elevação de kernel do Safari para ter acesso a todo o sistema da máquina, conseguindo acessar até mesmo o root do sistema. Por conta disso, o problema não só permitia o acesso a qualquer dado existente no computador como o controle de qualquer função dele, dando ao invasor acesso total à máquina.

O evento foi organizado pela ZDI (Zero Day Initiative), um programa da Trend Micro que encoraja hackers a revelarem vulnerabilidades encontradas em programas e sistemas operacionais para as empresas desenvolvedoras em vez de vender esses segredos para possíveis invasores maliciosos — em contrapartida, oferece prêmios em dinheiro para cada vulnerabilidade encontrada. Assim, qualquer vulnerabilidade encontrada pelos hackers ligados à ZDI não apenas são avisadas pela Trend Micro para a empresa desenvolvedora do software para que ela possa consertar o erro, mas também usa o conhecimento para melhorar suas soluções de segurança próprias.

Continua após a publicidade

O Safari é um dos pontos de acesso mais comuns para hackers que têm a intenção de invadir um sistema Mac, e a cada nova competição a ZDI acaba descobrindo novas vulnerabilidades de “dia zero” no programa. No total, os hackers que encontraram essas falhas receberam uma soma de U$ 240 mil, mas a ZDI só irá detalhar as descobertas depois que a Apple confirmar que já corrigiu os erros encontrados em uma atualização do macOS.

Fonte: 9to5Mac