Safari Zero-Day Exploit — ลิงค์ที่ควรค่าแก่การตรวจสอบ
เรื่องราวการแฮ็กทำให้ฉันน้ำตาคลอ แต่การแข่งขันแฮ็คชื่อ "pwn-2-own" อย่างชาญฉลาด (Hack a honeypot MacBook, ได้เป็นรางวัล) ได้รับความสนใจดังกล่าว ควรชี้ไปที่การรายงานที่ดีกว่าในหัวข้อนี้:
Dan Goodin ที่ The Register:
นักวิจัยด้านความปลอดภัยในนิวยอร์กใช้เวลาน้อยกว่า 12 ชั่วโมงในการระบุและใช้ประโยชน์จาก Zero-day ช่องโหว่ในเบราว์เซอร์ Safari ของ Apple ที่ทำให้เขาได้รับสิทธิ์ผู้ใช้เต็มรูปแบบจากการถูกแฮ็กจากระยะไกล เครื่องจักร. ความสำเร็จดังกล่าวเกิดขึ้นในช่วงวันที่สองและวันสุดท้ายของการแข่งขัน CanSecWest “pwn-2-own” ซึ่งผู้เข้าร่วมจะสามารถเดินออกไปพร้อมกับ MacBook Pro ที่มีการติดตั้งอย่างสมบูรณ์ หากพวกเขาสามารถแฮ็กได้ก่อน
…Dai Zovi ซึ่งไม่ได้เข้าร่วมการประชุม ได้รับคัดเลือกในคืนวันพฤหัสบดีโดย Shane Macaulay เพื่อนและผู้เข้าร่วมประชุม ความสะดวกที่ Dai Zovi ค้นพบในการ pwning เครื่องนั้นน่าทึ่งยิ่งกว่าเดิม เนื่องจากการอัปเดตที่ Apple ได้ผลักดันออกไปเมื่อวานนี้เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยของ Mac 25 ช่องโหว่ Macaulay อธิบายช่องโหว่ของ Dai Zovi ว่าเป็นข้อผิดพลาดจาวาสคริปต์ฝั่งไคลเอ็นต์ที่รันโค้ดโดยอำเภอใจเมื่อ Safari เยี่ยมชมเว็บไซต์ที่มีช่องโหว่
Thomas Ptacek ที่ Matasano:
ปิด Java; เพื่อความปลอดภัยจนกว่า Dino จะให้เราพูดมากกว่านี้ ปิดทุกอย่างด้วย หรืออยู่อย่างอันตรายอย่างฉัน
Charles Jade ที่ Ars Technica:
… ผู้เชี่ยวชาญจำนวนมากและผู้ไม่ประสงค์ออกนามบนอินเทอร์เน็ตจะประณามการขาดความปลอดภัยของ Apple และอย่างไร ไม่ยุติธรรมที่ Microsoft ซึ่งขยายความพยายามอย่างมากในการรักษาความปลอดภัย ถูกมองว่ามีความปลอดภัยน้อยกว่า ระบบปฏิบัติการ ในขณะเดียวกัน ผู้ใช้ Mac ก็จะหาเหตุผลเข้าข้างตนเองในสถานการณ์นั้น รวมทั้งฉันด้วย