Amaya Toman Darganfu hacwyr White Hat ddau ddiffyg diogelwch ym mhorwr Safari mewn cynhadledd ddiogelwch yn Vancouver. Mae un ohonynt hyd yn oed yn gallu addasu ei ganiatadau i'r pwynt o gymryd rheolaeth lwyr ar eich Mac. Roedd y cyntaf o'r bygiau a ddarganfuwyd yn gallu gadael y blwch tywod - mesur diogelwch rhithwir sy'n caniatáu i gymwysiadau gael mynediad at eu data eu hunain a data system yn unig.
Dechreuwyd y gystadleuaeth gan dîm Fluoroacetate, a'u haelodau oedd Amat Cama a Richard Zhu. Targedodd y tîm borwr gwe Safari yn benodol, ymosododd yn llwyddiannus arno a gadael y blwch tywod. Cymerodd y llawdriniaeth gyfan bron yr holl derfyn amser a neilltuwyd ar gyfer y tîm. Dim ond yr eildro y bu'r cod yn llwyddiannus, ac roedd dangos y byg wedi ennill $55K i Team Fluoroacetate a 5 pwynt tuag at deitl Meistr y Pwn.
Datgelodd yr ail fyg fod mynediad gwraidd a chnewyllyn ar Mac. Dangoswyd y byg gan dîm phoenhex & qwerty. Wrth bori eu gwefan eu hunain, llwyddodd aelodau'r tîm i actifadu byg JIT ac yna cyfres o dasgau yn arwain at ymosodiad system lawn. Roedd Apple yn gwybod am un o'r bygiau, ond roedd arddangos y bygiau wedi ennill $45 i gyfranogwyr a 4 pwynt tuag at deitl Meistr y Pwn.
Trefnydd y gynhadledd yw Trend Micro o dan faner ei fenter Zero Day (ZDI). Crëwyd y rhaglen hon i annog hacwyr i riportio gwendidau yn uniongyrchol i gwmnïau yn hytrach na'u gwerthu i'r bobl anghywir. Dylai gwobrau ariannol, cydnabyddiaethau a theitlau fod yn gymhelliant i hacwyr.
Mae partïon â diddordeb yn anfon y wybodaeth angenrheidiol yn uniongyrchol at ZDI, sy'n casglu'r data angenrheidiol am y darparwr. Yna bydd ymchwilwyr a gyflogir yn uniongyrchol gan y fenter yn gwirio'r ysgogiadau mewn labordai profi arbennig ac yna'n cynnig gwobr i'r darganfyddwr. Fe'i telir yn syth ar ôl ei gymeradwyo. Yn ystod y diwrnod cyntaf, talodd ZDI dros 240 o ddoleri i arbenigwyr.
Mae Safari yn bwynt mynediad cyffredin i hacwyr. Yng nghynhadledd y llynedd, er enghraifft, defnyddiwyd y porwr i reoli'r Touch Bar ar MacBook Pro, ac ar yr un diwrnod, dangosodd mynychwyr y digwyddiad ymosodiadau eraill ar borwr.
Ffynhonnell: Mae'r ZDI
