Эксперт по безопасности получил $100 тысяч за обнаруженную уязвимость в Safari

Специалист по безопасности из RET2 Systems Джек Дэйтс (Jack Dates) получил награду в $100 тысяч за обнаружение новой уязвимости в браузере Safari. Эксплойт нулевого дня обнаружен на мероприятии Pwn2Own 2021.

Эксплойт нулевого дня — это недавно обнаруженная уязвимость, о которой ещё неизвестно разработчикам. Дэйтсу удалось добиться выполнения кода на уровне ядра через Safari, путём целочисленного переполнения. Таким образом ему удалось получить полный доступ ко всему компьютеру.

Это не единственная крупная уязвимость, обнаруженная на мероприятии. Разработчики Даан Койпер (Daan Keuper) и Тийс Алкемаде (Thijs Alkemade) нашли в сервисе видеоконференций Zoom цепочку из трёх ошибок, позволяющую добиться выполнения необходимых задач в чужой системе. При этом участие жертвы не требуется. Разработчики получили награду в $200 тысяч на двоих.

Как отмечает Macrumors, участники Pwn2Own 2021 суммарно получили награду в размере $1,2 миллиона. Проведение мероприятия позволяет разработчикам исправить обнаруженные уязвимости в течение 90 дней.