সাফারি দুটি নিরাপত্তা ত্রুটি দ্বারা জর্জরিত. একটি আপনাকে আপনার ম্যাকের সম্পূর্ণ নিয়ন্ত্রণ নিতে দেয়

21. 3. 2019

ভ্যাঙ্কুভারে একটি নিরাপত্তা সম্মেলনে হোয়াইট হ্যাট হ্যাকাররা সাফারি ব্রাউজারে দুটি নিরাপত্তা ত্রুটি আবিষ্কার করেছে। তাদের মধ্যে একটি এমনকি আপনার ম্যাকের সম্পূর্ণ নিয়ন্ত্রণ নেওয়ার পর্যায়ে এর অনুমতিগুলিকে টুইক করতে সক্ষম। আবিষ্কৃত বাগগুলির মধ্যে প্রথমটি স্যান্ডবক্স ছেড়ে যেতে সক্ষম হয়েছিল - একটি ভার্চুয়াল সুরক্ষা পরিমাপ যা অ্যাপ্লিকেশনগুলিকে শুধুমাত্র তাদের নিজস্ব এবং সিস্টেম ডেটা অ্যাক্সেস করতে দেয়৷

প্রতিযোগিতাটি ফ্লুরোসেটেট দল দ্বারা শুরু হয়েছিল, যার সদস্য ছিলেন আমাত কামা এবং রিচার্ড ঝু। দলটি বিশেষভাবে সাফারি ওয়েব ব্রাউজারকে লক্ষ্য করে, এটিকে সফলভাবে আক্রমণ করে এবং স্যান্ডবক্স ছেড়ে যায়। পুরো অপারেশনটি দলের জন্য প্রায় পুরো বরাদ্দ সময়সীমা নিয়েছিল। কোডটি শুধুমাত্র দ্বিতীয়বার সফল হয়েছে, এবং বাগ দেখিয়ে টিম Fluoroacetate $55K এবং মাস্টার অফ Pwn শিরোনামের দিকে 5 পয়েন্ট অর্জন করেছে।

দ্বিতীয় বাগটি একটি ম্যাকে রুট এবং কার্নেল অ্যাক্সেসের অনুমতি দেয়। বাগটি phoenhex & qwerty টিম দ্বারা প্রদর্শিত হয়েছিল৷ তাদের নিজস্ব ওয়েবসাইট ব্রাউজ করার সময়, দলের সদস্যরা একটি JIT বাগ সক্রিয় করতে সক্ষম হয় যার পরে একটি সম্পূর্ণ সিস্টেম আক্রমণের দিকে পরিচালিত করে। অ্যাপল বাগগুলির মধ্যে একটি সম্পর্কে জানত, কিন্তু বাগগুলি প্রদর্শন করে অংশগ্রহণকারীদের $45 এবং মাস্টার অফ Pwn শিরোনামের দিকে 4 পয়েন্ট অর্জন করেছে৷

টিম ফ্লুরোসেটেট — ফ্লুরোসেটেট টিম (সূত্র: জেডিআই)

সম্মেলনের আয়োজক ট্রেন্ড মাইক্রো এর জিরো ডে উদ্যোগের (জেডডিআই) ব্যানারে। এই প্রোগ্রামটি তৈরি করা হয়েছিল হ্যাকারদের ব্যক্তিগতভাবে দুর্বলতাগুলিকে ভুল লোকেদের কাছে বিক্রি না করে সরাসরি কোম্পানিগুলিতে রিপোর্ট করতে উত্সাহিত করার জন্য৷ আর্থিক পুরস্কার, স্বীকৃতি এবং শিরোনাম হ্যাকারদের জন্য প্রেরণা হওয়া উচিত।

আগ্রহী দলগুলি সরাসরি ZDI-তে প্রয়োজনীয় তথ্য পাঠায়, যা প্রদানকারীর সম্পর্কে প্রয়োজনীয় তথ্য সংগ্রহ করে। উদ্যোগের দ্বারা সরাসরি নিযুক্ত গবেষকরা তারপর বিশেষ পরীক্ষাগারে উদ্দীপনা পরীক্ষা করবেন এবং তারপর আবিষ্কারককে একটি পুরস্কার প্রদান করবেন। এটি অনুমোদনের পরপরই পরিশোধ করা হয়। প্রথম দিনে, ZDI বিশেষজ্ঞদের 240 ডলারের বেশি অর্থ প্রদান করেছে।

হ্যাকারদের জন্য সাফারি একটি সাধারণ প্রবেশ বিন্দু। গত বছরের সম্মেলনে, উদাহরণস্বরূপ, একটি ম্যাকবুক প্রো-তে টাচ বার নিয়ন্ত্রণ করতে ব্রাউজারটি ব্যবহার করা হয়েছিল এবং একই দিনে, অনুষ্ঠানে উপস্থিতরা অন্যান্য ব্রাউজার-ভিত্তিক আক্রমণ প্রদর্শন করেছিল।

উৎস: জেডিআই

বিষয়: অপারেশন, হ্যাকার, আফ্রিকায় শিকার অভিযান, MacBook প্রো, স্পর্শ, ম্যাকবুক, কার্যক্রম, অ্যাপলিকেস, আপেল

প্রবন্ধের আলোচনা

তোমার নাম

আপনার মন্তব্য

উপরের ডেটা পূরণ করে, আমি স্বীকার করছি যে কোম্পানি TEXT FACTORY s.r.o., Brno-এ নিবন্ধিত অফিস, Durďákova 336/29, Černá Pole, জিপ কোড: 613 00, ID নম্বর: 06157831, Brno, C বিভাগে আঞ্চলিক আদালতে নিবন্ধিত , 100399 সন্নিবেশ করান, অনুচ্ছেদ 6 অনুচ্ছেদ 1 চিঠি অনুসারে TEXT FACTORY s.r.o. এর বৈধ স্বার্থের ভিত্তিতে আমার দ্বারা পূরণ করা নিবন্ধন ফর্মে প্রদত্ত আমার ব্যক্তিগত ডেটা প্রক্রিয়া করবে f) জিডিপিআর এবং আইনি বাধ্যবাধকতাগুলি পূরণ করতে (অনুচ্ছেদ 6, অনুচ্ছেদ 1, চিঠি গ) জিডিপিআর), নিম্নলিখিত উদ্দেশ্যে: প্রকাশিত নিবন্ধগুলিতে বা আলোচনার মধ্যে সক্রিয়ভাবে অবদান রাখার জন্য টেক্সট ফ্যাক্টরি সংস্থা দ্বারা পরিচালিত ওয়েবসাইটগুলিতে দর্শকদের অনুমোদন নিশ্চিত করার প্রয়োজনীয়তা ফোরাম এবং এই আলোচনা ফোরামের প্রশাসক হিসাবে TEXT FACTORY s.r.o. এর অধিকার প্রয়োগ করা। ব্যক্তিগত তথ্য এবং অধিকার প্রক্রিয়াকরণ সম্পর্কে আরও তথ্য পাওয়া যাবে ব্যক্তিগত তথ্য সুরক্ষার বিষয়ে পাঠ. সম্পূর্ণ পাঠ্য

সম্পর্কিত