本周三举行的年度Pwn2Own黑客大赛上,趋势科技举办的Zero Day Initiative(ZDI)活动上,有两起针对苹果Safari浏览器的攻击,其中一次取得了成功。根据博客分享的细节,来自phoenhex的Samuel Groß利用包含macOS提权漏洞的三个BUG链成功入侵了Safari。
根据官方新闻稿提供的细节,这个漏洞还能对MacBook Pro上TouchBar的文本进行篡改。凭借着这个BUG链,Groß成功的获得了6.5万美元,并以6分的成绩获得了梦寐以求的“Master of Pwn”头衔。
去年11月举办的Mobile Pwn2Own大会上,曾经利用两个Safari BUG绕过iPhone 7安全协议的Richard Zhu在本次大会上尝试利用Safari漏洞发起攻击的。但是遗憾的是,在本届Pwn2Own大会上,Zhu无法在规定的30分钟时间内从沙箱中逃脱。
不过,Zhu成功利用Windows内核EoP破解了微软Edge,使用了两个UAF漏洞和整数一处漏洞。Groß的phoenhex队友Niklas Baumstark成功对Oracle VirtualBox发起攻击。