Nové zranitelnosti internetového prohlížeče Safari

Právě internetový prohlížeč Safari představuje pro hackery vcelku běžný bod pro různé druhy útoků.
Na bezpečnostní konferenci ve Vancouveru (Pwn2Own 2019) byly objeveny dvě závažné bezpečnostní chyby (typ zranitelnosti zero-day), které ohrožují internetový prohlížeč Safari, a tedy především uživatele platformy Apple. Pořadatelem konference byla společnost Trend Micro pod záštitou iniciativy Zero Day (ZDI). Iniciativa byla vytvořena pro podporu hackerů v soukromém nahlašování chyb a zranitelností přímo společnostem namísto prodeje nesprávným (neautorizovaným) osobám v „podsvětí“ internetu.

První z objevených chyb byla schopná opustit tzv. sandbox, můžeme jej chápat jako virtuální bezpečností opatření, díky kterému mají aplikace přístup pouze ke svým vlastním a potřebným systémovým informacím (datům). Opuštění – překonání tohoto bezpečnostního opatření vytváří možnost pro neautorizované manipulace nebo neoprávněné instalace zákeřného nebo infekčního kódu.

Druhá z objevených chyb byla mnohem závažnější, protože umožňovala získat přístup k rootu a kernelu operačního systému. Při prohlížení webové stránky se podařilo aktivovat chybu JIT, kterou následovala skupina úloh vedoucí ke kompletnímu napadaní systému. Lze doplnit, že společnost Apple o jedné z chyb věděla a v současné době se připravuje plánovaná aktualizace, která tyto demonstrované zranitelnosti opraví.

Safari jako cíl hackerů

Právě internetový prohlížeč Safari představuje pro hackery vcelku běžný bod pro různé druhy útoků. Na loňské bezpečností konferencí byl Safari využit k využití kontroly nad Touch Barem u MacBook Pro. Z těchto důvodů se Apple zaměřuje na vylepšení bezpečnosti svého primárního internetového prohlížeče a jeho bezpečnost se neustále zlepšuje.

← zpět na výpis příspěvků

Témata příspěvku: zero-day, zranitelnost safari, apple safari, internetový prohlížeč chyba, safari chyba, safari zranitelnost, browser hacking, kernel, root, pw2own, Apple