Zneužitie Safari bez nulového dňa-odkazy, ktoré stojí za kontrolu
Hackerské príbehy ma rozplakali, ale šikovne pomenovaná hackerská súťaž „pwn-2-own“ (Hack a honeypot MacBook, získajte to ako cenu), ktorej sa dostáva takej pozornosti, že stojí za to poukázať na niektoré lepšie správy o tejto téme:
Dan Goodin v registri:
Výskumník bezpečnosti v New Yorku strávil menej ako 12 hodín na identifikáciu a využitie nultého dňa zraniteľnosť v prehliadači Safari spoločnosti Apple, ktorá mu umožnila vzdialene získať úplné používateľské práva k napadnutým osobám stroj. K činu došlo počas druhého a posledného dňa súťaže CanSecWest „vlastnenej 2“, v ktorej môžu účastníci odísť s plne opraveným MacBookom Pro, ak ho môžu najskôr hacknúť.
…Dai Zoviho, ktorý sa nezúčastňuje na konferencii, vo štvrtok večer prijal Shane Macaulay, priateľ a účastník konferencie. Ľahkosť, ktorú Dai Zovi našiel pri zostavovaní stroja, bola o to pozoruhodnejšia, že aktualizácia, ktorú spoločnosť Apple včera zverejnila, opravila 25 bezpečnostných dier Mac. Macaulay opísal zraniteľnosť Dai Zovi ako chybu JavaScriptu na strane klienta, ktorá pri návšteve Safari na náhodne uviaznutom webe spustila ľubovoľný kód.
Thomas Ptacek v Matasano:
Vypnite Javu; pre istotu vypnite všetko ostatné, kým nám Dino nepovie viac. Alebo ži nebezpečne ako ja.
Charles Jade v Ars Technica:
... obrovské množstvo odborníkov a anonymných hlupákov na internete bude odsúdiť nedostatok zabezpečenia spoločnosti Apple a spôsob, akým Je nespravodlivé, že spoločnosť Microsoft, ktorá vyvíja toľko úsilia v oblasti bezpečnosti, je vnímaná ako menej bezpečná OS. Používatelia počítačov Mac medzitým racionalizujú situáciu vrátane mňa.