Investigador de seguridad gana $ 100,000 por Safari Exploit en el concurso de piratería Pwn2Own

Cada año, Zero Day Initiative organiza un concurso de piratería 'Pwn2Own' en el que los investigadores de seguridad pueden ganar dinero para encontrar vulnerabilidades graves en plataformas importantes como Windows y macOS.

Este evento virtual 2021 Pwn2Own comenzó a principios de esta semana y contó con 23 intentos de piratería por separado en 10 productos diferentes, incluidos navegadores web, virtualización, servidores y más. Un asunto de tres días que se extiende por varias horas al día, el evento Pwn2Own de este año se transmitió en vivo en YouTube.

Los productos de Apple no fueron muy objetivo en Pwn2Own 2021, pero el primer día, Jack Dates de RET2 Systems ejecutó un exploit de Safari a kernel de día cero y ganó $ 100,000. Usó un desbordamiento de enteros en Safari y una escritura OOB para obtener la ejecución de código a nivel de kernel, como se muestra en el tweet a continuación.

¡Felicitaciones Jack! Aterrizando un Safari de Apple con 1 clic al Kernel Zero-day en # Pwn2Own 2021 en nombre de RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs - Sistemas RET2 (@ ret2systems) 6 de abril de 2021

Los investigadores holandeses Daan Keuper y Thijs Alkemade, por ejemplo, demostraron un grave defecto de Zoom. El dúo aprovechó un trío de fallas para obtener el control total de una PC objetivo usando la aplicación Zoom sin interacción del usuario.

Todavía estamos confirmando los detalles del #Zoom explotar con Daan y Thijs, pero aquí hay un mejor gif del error en acción. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW - Iniciativa Día Cero (@thezdi) 7 de abril de 2021