Durante una competición de ciberseguridad el equipo «Fluoroacetate» descubrió un fallo que les permitia explotar una vulnerabilidad Zero-Day en Safari, lo cual les dio un premio de $55,000 y 5 puntos de Master de PWD (PWD es el sistema de puntuación de la competición).
Lo llevaron a cabo utilizando un fallo que desborda la memoria del navegador junto a un ataque de fuerza bruta. El intento casi les ocupó todo el tiempo permitido, ya que utilizaron una técnica de fuerza bruta durante la competición y esta técnica suele tardar bastante. El código falló y luego lo intentaron de nuevo hasta que obtuvieron éxito.
Sin embargo, quedaron eclipsados cuando el equipo «phoenhex & qwerty team» explotaron una vulnerabildad Zero-Day en Safari, consiguiéndolo con un fallo que les permitía acceder al kernel del sistema operativo de Apple, dejando patente un grave problema del sistema operativo. La mala suerte de estos chicos hizo que quedaran segundos, ya que Apple ya conocía ese error y se disponía a parchearlo.
¿Qué es un ataque Zero-Day?
Un ataque de Zero-Day es un ataque contra una aplicación o sistema, teniendo como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto.
