Hackers encontram duas novas vulnerabilidades de "dia zero" no Safari
Por Rafael Rodrigues da Silva | 22 de Março de 2019 às 07h30
Uma competição de hackers em Vancouver, Canadá, descobriu duas vulnerabilidades de “dia zero” (ou seja, que existem desde o lançamento do programa) no Safari, o navegador de internet dos Macs da Apple. E uma dessas vulnerabilidades é perigosíssima, pois permitiria ao invasor controle total sobre a máquina.
A primeira das vulnerabilidades foi descoberta pelo time Fluorpacetate, que conseguiu usar a falha para sair do sandbox (uma “barreira” existente no macOS que permite que os apps instalados em um Mac não tenham acesso às bases de dados de outros aplicativos) e acessar qualquer dado do computador através do browser.
Já a segunda falha foi encontrada pelo time phoenhex & qwerty, que utilizou a elevação de kernel do Safari para ter acesso a todo o sistema da máquina, conseguindo acessar até mesmo o root do sistema. Por conta disso, o problema não só permitia o acesso a qualquer dado existente no computador como o controle de qualquer função dele, dando ao invasor acesso total à máquina.
O evento foi organizado pela ZDI (Zero Day Initiative), um programa da Trend Micro que encoraja hackers a revelarem vulnerabilidades encontradas em programas e sistemas operacionais para as empresas desenvolvedoras em vez de vender esses segredos para possíveis invasores maliciosos — em contrapartida, oferece prêmios em dinheiro para cada vulnerabilidade encontrada. Assim, qualquer vulnerabilidade encontrada pelos hackers ligados à ZDI não apenas são avisadas pela Trend Micro para a empresa desenvolvedora do software para que ela possa consertar o erro, mas também usa o conhecimento para melhorar suas soluções de segurança próprias.
O Safari é um dos pontos de acesso mais comuns para hackers que têm a intenção de invadir um sistema Mac, e a cada nova competição a ZDI acaba descobrindo novas vulnerabilidades de “dia zero” no programa. No total, os hackers que encontraram essas falhas receberam uma soma de U$ 240 mil, mas a ZDI só irá detalhar as descobertas depois que a Apple confirmar que já corrigiu os erros encontrados em uma atualização do macOS.
Fonte: 9to5Mac