Safari Zero-Day Exploit: collegamenti che vale la pena controllare
Le storie di hacking mi hanno annoiato fino alle lacrime, ma la competizione di hacking "pwn-2-own" abilmente chiamata (Hack a honeypot MacBook, prendilo come premio) sta ricevendo tale attenzione, vale la pena indicare alcuni dei migliori rapporti sull'argomento:
Dan Goodin al The Register:
Un ricercatore di sicurezza con sede a New York ha impiegato meno di 12 ore per identificare e sfruttare uno zero-day vulnerabilità nel browser Safari di Apple che gli ha permesso di ottenere in remoto tutti i diritti dell'utente sull'hackerato macchina. L'impresa è avvenuta durante il secondo e ultimo giorno del concorso CanSecWest "pwn-2-own" in cui i partecipanti sono in grado di andarsene con un MacBook Pro completamente patchato se sono in grado di hackerarlo per la prima volta.
…Dai Zovi, che non partecipa alla conferenza, è stato reclutato giovedì sera da Shane Macaulay, un amico e partecipante alla conferenza. La facilità che Dai Zovi ha trovato nel pwning della macchina è stata ancora più notevole, dato un aggiornamento che Apple ha rilasciato ieri correggendo 25 falle di sicurezza del Mac. Macaulay ha descritto la vulnerabilità di Dai Zovi come un errore javascript lato client che ha eseguito codice arbitrario quando Safari ha visitato un sito Web intrappolato.
Thomas Ptacek a Matasano:
Disattiva Java; per sicurezza, finché Dino non ci lascia dire di più, spegni anche tutto il resto. O vivi pericolosamente come me.
Charles Jade all'Ars Technica:
… un numero enorme di esperti e nerd anonimi su Internet condannerà la mancanza di sicurezza di Apple e come ingiusto è che Microsoft, che espande così tanto gli sforzi sulla sicurezza, sia percepita come meno sicura sistema operativo. Nel frattempo, gli utenti Mac razionalizzeranno la situazione, me compreso.