Tízezer dollárt ért a Mac OS egy sebezhetősége

Tízezer dollárt ért a Mac OS egy sebezhetősége

2007. április 22. 14:55, Vasárnap
Egy biztonsági szakértő vadonatúj MacBook Pro számítógépet és tízezer dollárt kapott, amiért elsőként mutatta be a Safari böngészőn keresztül megvalósított megoldását, amelynek révén a Mac OS rendszer felett is átvette az irányítást.

A kanadai Vancouverben megrendezett CanSecWest konferencián, a "pwn-2-own" elnevezésű versenyen hirdették ki a feltételeket és a nyereményt, amelyhez a Tipping Point biztonsági cég által felajánlott jelentős pénzjutalom társult. A cél az volt, hogy igazolják a Mac OS rendszer biztonságát, ezzel bizonyítva, hogy a platform a Windows családhoz képest kevésbé veszélyeztetett a hagyományos kártevőkkel, behatolásokkal szemben.

Erre az állításra végül Dino Dai Zovi, egy New York-i biztonsági szakértő cáfolt rá, aki kevesebb mint 12 óra alatt elkészített saját megoldását. Ennek lényege, hogy a speciálisan szerkesztett weboldalak révén, a Safari böngésző egy meglévő sebezhetőségét kihasználna bejuthatunk a rendszerbe és ott szabadon garázdálkodhatunk. Zovi elmondása szerint a kliensoldali Javascript hibát felhasználva sikerült ilyen gyorsan összedobni a támadást, ami már csak azért is szép eredmény, mert az Apple éppen a napokban javított 25 hasonló biztonsági rést.

A kiírás meglehetősen szigorú feltételekkel indult, többek között magában foglalta azt a kikötést, miszerint mindenféle felhasználói tevékenység nélkül kell elérni a behatolást. Ez nem váltott ki túl nagy lelkesedést a látogatók részéről, akik azzal indokolták habozásukat, hogy egy ilyen megoldás akár 20 ezer dollárt is megér a piacon. A Tipping Point által felajánlott pénzjutalom, majd a feltételek enyhítése végül beindította a versenyt, igaz a nyertes Zovi nem is vett részt a találkozón, mindössze ismerősein keresztük szerzett tudomást a kihívásról.

A jelentések szerint röviddel a támadási forma illusztrálását követően egy második MacBook Pro már kivédte a megismételt kísérletet.

Kapcsolódó linkek

Listázás a fórumban 
Adatvédelmi beállítások