Shane Macaulay tấn công hệ thống MacBook tại cuộc thi CanSecWest.

Shane Macaulay, kỹ sư phần mềm và Dino Dai Zovi, chuyên gia phân tích bảo mật, vừa đột nhập thành công vào hệ thống MacBook và giành giải thưởng trị giá 10.000 USD, máy tính xách tay tại cuộc thi tìm lỗi lĩnh thưởng ở CanSecWest tại Vancouver.

Yêu cầu của ban tổ chức, người tham gia cuộc thi phải tìm thấy lỗi và khai thác thành công “khiếm khuyết” trên hệ thống MacBook Pro đã được sửa lỗi.

Macaulay cho biết họ đã tìm thấy lỗ hổng bảo mật zero-day trên trong trình duyệt Safari của Apple. Và viết chương trình khai khác thành công trong vòng 9 tiếng. Shane và Dino đã đột nhập thành công vào hệ thống của Apple một ngày sau khi Apple công bố bản nâng cấp bảo mật thứ tư cho hệ điều hành Mac trong năm nay. Bản nâng cấp này khắc phục 25 lỗi.

Lỗi bảo mật do Dai Zovi phát hiện là một lỗi JavaScript có thể bị lợi dụng để thực thi mã nhị phân trên hệ thống mắc lỗi nếu người dùng truy cập vào một website độc hại. Nó cho phép hacker chiếm quyền điều khiển hệ thống.

Nữ phát ngôn viên của Apple, Lynn Fox, từ chối bình luận về cuộc thâm nhập trên và phát biểu: “Apple coi vấn đề bảo mật vô cùng quan trọng và luôn theo dõi, phát hiện vá lỗi kịp thời trước khi ảnh hưởng tới người dùng”.

Đại diện của nhà tổ chức giải thưởng TippingPoint cho biết công ty sẽ trả tiền sau khi kiểm tra thấy lỗi bảo mật. “Nếu thực sự có lỗi zero-day trong trình duyệt Safari thì đó là tin vui đối với chúng tôi”, Terri Forslof, một giám đốc chuyên về phản ứng các vấn đề bảo mật của TippingPoint, khẳng định.

(Theo TT / ZDNET, Theregister)