امایا تومان د سپینې خولۍ هیکرانو په وینکوور کې په یوه امنیتي کنفرانس کې په سفاري براوزر کې دوه امنیتي نیمګړتیاوې وموندلې. یو له دوی څخه حتی د دې وړتیا لري چې ستاسو د ماک بشپړ کنټرول ترلاسه کولو نقطې ته اجازه ورکړي. د کشف شوي کیګونو څخه لومړی د سینڈ باکس پریښودو توان درلود - یو مجازی امنیت اندازه چې غوښتنلیکونو ته اجازه ورکوي یوازې خپل ځان او سیسټم ډیټا ته لاسرسی ومومي.
دغه سيالۍ د فلوروسيټيټ لوبډلې له خوا پيل شوې، چې غړي يې امات کاما او ريچارډ ژو وو. ټیم په ځانګړې توګه د سفاري ویب براوزر په نښه کړ، په بریالیتوب سره یې برید وکړ او سینڈ باکس یې پریښود. ټول عملیات د ټیم لپاره نږدې ټول ټاکل شوي وخت محدودیت نیولی. کوډ یوازې دوهم ځل بریالی و، او د بګ ښودلو سره ټیم فلوروسیټټ $ 55K او 5 پوائنټونه د ماسټر آف Pwn سرلیک په لور ترلاسه کړل.
دوهم بګ په ماک کې د ریښې او کرنل لاسرسي ته اجازه ورکړه. بګ د فین هیکس او qwerty ټیم لخوا وښودل شو. په داسې حال کې چې خپله ویب پاڼه لټوي، د ټیم غړو اداره کوله چې د JIT بګ فعال کړي او د یو لړ دندو په تعقیب د بشپړ سیسټم برید المل شي. ایپل د یوې بګ په اړه پوهیده، مګر د بګونو په ښودلو سره ګډون کونکو $ 45 او د ماسټر آف Pwn سرلیک په لور 4 نمرې ترلاسه کړې.
د کنفرانس تنظیم کونکی د دې صفر ورځې نوښت (ZDI) تر بینر لاندې Trend Micro دی. دا برنامه د دې لپاره رامینځته شوې چې هیکران وهڅوي چې په شخصي ډول د زیانونو په اړه مستقیم شرکتونو ته راپور ورکړي پرځای یې په غلط خلکو باندې پلوري. مالي انعامونه، اعترافونه او سرلیکونه باید د هیکرانو هڅونه وي.
علاقمند اړخونه اړین معلومات مستقیم ZDI ته لیږي، کوم چې د چمتو کونکي په اړه اړین معلومات راټولوي. څیړونکي په مستقیم ډول د نوښت لخوا ګمارل شوي بیا به د ځانګړي ازموینې لابراتوارونو کې محرکات وګوري او بیا کشف کونکي ته انعام وړاندې کړي. دا د تصویب وروسته سمدلاسه تادیه کیږي. د لومړۍ ورځې په جریان کې، ZDI متخصصینو ته له 240 ډالرو څخه ډیر پیسې ورکړې.
سفاري د هیکرانو لپاره د ننوتلو یو عام ټکی دی. د تیر کال په کنفرانس کې، د بیلګې په توګه، براوزر په MacBook پرو کې د ټچ بار کنټرول کولو لپاره کارول شوی و، او په ورته ورځ، په پیښه کې ګډون کوونکو د نورو براوزر پر بنسټ بریدونه وښودل.
سرچینه: د ZDI
