兩位白帽因成功找到iOS 12.1漏洞獲得6萬美元獎勵
援引Zero Day Initiative網站更新的博文內容,近日在東京舉辦的Mobile Pwn2Own大賽中Richard Zhu和Amat Cama兩位白帽黑客成功找到了iPhone上的漏洞,最終獲得了6萬美元(約合41.53萬人民幣)的獎金。在現場演示中,運行iOS 12.1系統的iPhone X在連接惡意WiFi後,利用just-in-time (JIT) 編譯漏洞通過Safari成功訪問已經刪除的照片。
兩位白帽還發現利用該漏洞,不僅能夠訪問已經刪除的照片還能訪問其他文件內容。而刪除的照片恰好只是演示過程中遇到的首個文件夾而已。在隨後的演示過程中,兩位白帽使用網頁瀏覽器中的JIT漏洞的組合BUG進行沙盒逃逸和提權。本次演示讓他們獲得了6萬美元的獎勵,並獲得了10個Pwn積分。在首日大賽活動中,他們斬獲了14萬美元的獎金,並以31分的成績位居Master of Pwn榜首。
