Apple закърпи дупка, използвана в Pwn2Own

Днес Apple пусна кръпка за дупка, благодарение на която един от участниците на хакерския конкурс Pwn2Own спечели 10 хиляди щатски долара. Ъпдейтът оправя уязвимост в Mac OS X, която може да бъде използвана за пробиването на системата през браузъра Safari.

Това е втората кръпка, която пуска компанията на Стийв Джобс във връзка с хакерското съревнование, което се проведе в края на миналия месец във Ванкувър. Още в първия ден на конкурса Чарли Милър, аналитик от компанията Security Evaluators, хакна браузъра Safari, който работеше под операционната система Mac OS X 10.6, позната още като Snow Leopard. Милър е единственият участник, който е печелил три пъти Pwn2Own.

Днес самият Милър е потвърдил, че запушената уязвимост е точно тази, която е използвал за спечелването на тлъстия награден фонд. По време на конкурса той отказа да даде подробности за използвания при хакването бъг, но за сметка на това проведе презентация, на която демонстрира методите, използвани от него за откриване на повече от 20 уязвимости. Методиката на анализатора Милър е позната като "dumb fuzzing". Той смята, че за компаниите ще е по-полезно да се научат как сами да откриват проблемите в приложенията, които разработват. Според него, ако подробностите за бъговете им се предоставят наготово, те никога няма да се научат и ще продължат да произвеждат бъгави продукти.

Миналата година Чарли Милър хакна Mac OS X ползвайки пробойна, открита по същата методика. Тогава на Apple беше необходимо два пъти повече време за да пусне ъпдейт, който оправя използвания бъг.