Um MacBook Pro foi comprometido pelos pesquisadores de segurança Shane Macaulay e Dino Dai Zovi nesta sexta-feira (20/04) por meio de uma falha no Safari, navegador web padrão da Apple, na competição PWN 2 OWN da conferência de segurança CanSecWest, em Vancouver, no Canadá. De acordo com os organizadores da competição, o MacBook estava com todas as correções de segurança aplicadas, o que tornaria a vulnerabilidade utilizada “dia zero”, por não haver solução disponível.

A competição PWN 2 OWN conta com 2 MacBooks, um com tela de 15″ e outro de 17″. Qualquer um capaz obter acesso a um dos dois MacBooks poderia levá-lo para casa. Para levar o MacBook de 17″, além de obter acesso, o competidor também precisa conseguir acesso total (“root”).

Dino Dai Zovi, ex-pesquisador da empresa de segurança Matasano, descobriu a brecha no Safari e programou um código capaz de explorá-la em apenas 9 horas. Ele já havia descoberto falhas no Mac OS X em situações anteriores.

Dai Zovi não estava presente na conferência e começou a trabalhar na vulnerabilidade quando ficou sabendo de um novo prêmio de 10 mil dólares, oferecido pelo Zero Day Initiative da TippingPoint depois que os dois MacBooks permaneceram intocados durante 24 horas.

Como Dai Zovi não estava presente, outro pesquisador de segurança, Shane Macaulay, recebeu e utilizou com sucesso o código no computador de 15″. Macaulay poderá levar o laptop para casa, mas o MacBook de 17″ continua na competição.

Apesar da polêmica que gira em torno do pagamento de recompensas por falhas de segurança, o dinheiro foi um fator decisivo. “Shane pode ficar com o laptop, eu quero o dinheiro”, disse Dai Zovi em entrevista ao site News.com da CNET.

Como o código utilizado por Dai Zovi não é público, usuários de Mac não estão em risco. Detalhes sobre a falha, suas limitações e conseqüências ainda não estão disponíveis. Como a TippingPoint irá pagar 10 mil pelos detalhes da falha, é possível que estas informações sejam mantidas em segredo pela companhia, pelo menos até que a Apple disponibilize um patch.

23/04Novas informações indicam que a falha é do QuickTime e não do Safari.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s