E安全3月21日讯 苹果去年发布了新一代MacBook Pro,苹果用一条被称为Touch Bar(触控条)的OLED屏幕取代了此前的F1-F12功能键,它能够根据应用的改变自动切换到对应的快捷键面板,因而更具灵活性。一时间这个炫酷的新功能被吹捧为下一代前沿计算技术。
然而......
两名白帽子黑客竟然成功黑了Touch Bar,并留名“此处被xx黑”。
在加拿大温哥华举办的CanSecWest安全技术峰会上,Samuel Groß和Niklas Baumstark这两名黑客参加顶尖黑客大赛Pwn2Own,而且成功入侵了Touch Bar。他们设法利用几个漏洞通过Safari 网络浏览器获得MacOS Root权限。为了炫耀一下实力,两人还在MacBook Pro的Touch Bar上留名“niklasb和saelo成功攻破”。
无需惊慌!
用户听到这个消息后可能会有些许担忧,但E安全小编要告诉你,不必惊慌!
实际上,黑客大赛Pwn2Own汇聚精英黑客(白帽子黑客)就是为了一起发现物联网和计算设备中的安全漏洞。随后,这些设备的制造商会被告知漏洞细节,从而在网络犯罪分子得手之前先行修复。
这两名白帽子因发现Touch Bar的漏洞获得2.8万美元的奖金。但是,Pwn2Own的主办单位表示,Samuel Groß 和Niklas Baumstark因在Touch Bar留名赚了“附加分”。这两名黑客使用Safari中的“释放后再利用”(Use-After-Free,UAF)漏洞、三个逻辑漏洞和空指针引用故障(Null Pointer Dereference)利用了Safari并提升到MacOS的root权限。
Chaitin安全研究实验室也采用了同样的方法,利用Safari网络浏览器并取得MacOS的Root权限,为此,他们获得了3.5万美元的奖金。
Pwn2Own世界黑客大赛久负盛名。通过该盛会,参赛者已经报告了知名产品中存在的关键安全漏洞,包括Linux Ubuntu、Adobe Reader、Adobe Reader和Windows OS。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论