Amaya Toman White Hat ဟက်ကာများသည် ဗန်ကူးဗား၌ ပြုလုပ်သည့် လုံခြုံရေးကွန်ဖရင့်တွင် Safari browser တွင် လုံခြုံရေး ချို့ယွင်းချက်နှစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ၎င်းတို့ထဲမှ တစ်ခုသည် သင်၏ Mac ကို ပြီးပြည့်စုံစွာ ထိန်းချုပ်နိုင်သည့်အထိ ၎င်း၏ခွင့်ပြုချက်များကို ပြုပြင်ပြောင်းလဲနိုင်သည်။ ပထမဆုံးတွေ့ရှိခဲ့သည့် ချွတ်ယွင်းချက်မှာ အပလီကေးရှင်းများ ၎င်းတို့၏ကိုယ်ပိုင်နှင့် စနစ်ဒေတာများကိုသာ ဝင်ရောက်ခွင့်ပြုသည့် အတုအယောင်လုံခြုံရေးအတိုင်းအတာတစ်ခုဖြစ်သည့် sandbox ကို ချန်ထားနိုင်ခဲ့သည်။
ပြိုင်ပွဲကို Fluoroacetate အဖွဲ့မှ စတင်ခဲ့ပြီး အဖွဲ့ဝင်များဖြစ်သည့် Amat Cama နှင့် Richard Zhu တို့ဖြစ်သည်။ အဖွဲ့သည် Safari ဝဘ်ဘရောက်ဆာကို အထူးပစ်မှတ်ထားပြီး ၎င်းကို အောင်မြင်စွာ တိုက်ခိုက်ပြီး sandbox မှ ထွက်ခွာသွားခဲ့သည်။ လုပ်ဆောင်ချက်တစ်ခုလုံးသည် အဖွဲ့အတွက် သတ်မှတ်ထားသော အချိန်ကန့်သတ်ချက်တစ်ခုလုံးနီးပါးကို ယူဆောင်သွားခဲ့သည်။ ကုဒ်သည် ဒုတိယ အကြိမ်သာ အောင်မြင်ခဲ့ပြီး၊ Team Fluoroacetate $55K နှင့် Master of Pwn ခေါင်းစဉ်သို့ 5 မှတ် ရရှိထားသည့် bug ကို ပြသခြင်း။
ဒုတိယ bug သည် Mac တွင် root နှင့် kernel အသုံးပြုခွင့်ကိုပြသခဲ့သည်။ bug ကို phoenhex & qwerty အဖွဲ့မှ သရုပ်ပြခဲ့သည်။ ၎င်းတို့၏ကိုယ်ပိုင်ဝဘ်ဆိုဒ်ကိုကြည့်ရှုနေစဉ်တွင်၊ အဖွဲ့သားများသည် JIT bug တစ်ခုအား အသက်သွင်းနိုင်ခဲ့ပြီး ၎င်းနောက်တွင် စနစ်တစ်ခုလုံးကို တိုက်ခိုက်ခြင်းဆီသို့ ဦးတည်သည့် လုပ်ဆောင်စရာများစွာဖြင့် လုပ်ဆောင်နိုင်ခဲ့သည်။ Apple သည် bug များထဲမှ တစ်ခုကို သိသော်လည်း အဆိုပါ bug များကို သရုပ်ပြခြင်းဖြင့် ပါဝင်သူများသည် $45 နှင့် Master of Pwn title သို့ 4 မှတ် ရရှိခဲ့သည်။
ညီလာခံစီစဉ်သူမှာ ၎င်း၏ Zero Day အစပျိုးမှု (ZDI) ၏နဖူးစည်းအောက်တွင် Trend Micro ဖြစ်သည်။ ဤပရိုဂရမ်သည် ဟက်ကာများအား မှားယွင်းသူများကို ရောင်းချမည့်အစား ကုမ္ပဏီများသို့ အားနည်းချက်များကို တိုက်ရိုက်သတင်းပို့ရန် ဟက်ကာများကို တွန်းအားပေးရန် ဖန်တီးထားသည်။ ငွေကြေးဆုလာဘ်များ၊ အသိအမှတ်ပြုမှုများနှင့် ခေါင်းစဉ်များသည် ဟက်ကာများအတွက် လှုံ့ဆော်မှုဖြစ်သင့်သည်။
စိတ်ဝင်စားသူများသည် ဝန်ဆောင်မှုပေးသူနှင့် ပတ်သက်သည့် လိုအပ်သော အချက်အလက်များကို စုဆောင်းပေးသော ZDI သို့ လိုအပ်သော အချက်အလက်များကို တိုက်ရိုက်ပေးပို့ပါသည်။ အစပျိုးမှုမှ တိုက်ရိုက်အလုပ်လုပ်သော သုတေသီများသည် အထူးစမ်းသပ်ဓာတ်ခွဲခန်းများတွင် လှုံ့ဆော်မှုများကို စစ်ဆေးပြီးနောက် ရှာဖွေတွေ့ရှိသူကို ဆုချီးမြှင့်မည်ဖြစ်သည်။ ၎င်း၏ခွင့်ပြုချက်ပြီးနောက်ချက်ချင်းပေးဆောင်သည်။ ပထမနေ့တွင် ZDI သည် ကျွမ်းကျင်သူများအား ဒေါ်လာ 240 ကျော်ပေးချေခဲ့သည်။
Safari သည် ဟက်ကာများအတွက် ဘုံဝင်ပေါက်တစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့် ယမန်နှစ် ကွန်ဖရင့်တွင်၊ MacBook Pro ၏ Touch Bar ကို ထိန်းချုပ်ရန် ဘရောက်ဆာကို အသုံးပြုခဲ့ပြီး ထိုနေ့တွင်ပင် တက်ရောက်သူများသည် အခြားဘရောက်ဆာအခြေခံတိုက်ခိုက်မှုများကို သရုပ်ပြခဲ့ကြသည်။
ရင်းမြစ် - ZDI
