In Pwn2Own 2022 wurden 5 Schwachstellen in Ubuntu nachgewiesen

Dunkelkrizt | | Ubuntu

Keine Kommentare

Vor kurzem sie haben sich bekannt gemacht durch einen Blogbeitrag Ergebnisse der drei Tage des Wettbewerbs Pwn2Own 2022, die jährlich im Rahmen der CanSecWest-Konferenz stattfindet.

In der diesjährigen Ausgabe Es wurde nachgewiesen, dass Techniken zum Ausnutzen von Schwachstellen funktionieren bisher unbekannt für Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams und Firefox. Insgesamt wurden 25 erfolgreiche Angriffe nachgewiesen und drei Versuche scheiterten. Die Angriffe verwendeten die neuesten stabilen Versionen von Anwendungen, Browsern und Betriebssystemen mit allen verfügbaren Updates und in Standardeinstellungen. Der Gesamtbetrag der gezahlten Vergütung betrug 1.155.000 US-Dollar.

Pwn2Own Vancouver bis 2022 ist im Gange, und zum 15. Jahrestag des Wettbewerbs wurden bereits einige unglaubliche Forschungsergebnisse gezeigt. Bleiben Sie in diesem Blog auf dem Laufenden, um aktualisierte Ergebnisse, Bilder und Videos von der Veranstaltung zu erhalten. Wir werden alles hier veröffentlichen, einschließlich der neuesten Master of Pwn-Bestenliste.

Wettbewerb zeigte fünf erfolgreiche Versuche, zuvor unbekannte Sicherheitslücken auszunutzen in Ubuntu Desktop, erstellt von verschiedenen Teams von Teilnehmern.

ausgezeichnet wurde a Preisgeld in Höhe von 40,000 US-Dollar für die Demonstration der lokalen Rechteausweitung in Ubuntu Desktop durch Ausnutzen von zwei Pufferüberlauf- und Doppelfreigabeproblemen. Vier Boni im Wert von jeweils 40,000 US-Dollar wurden für die Demonstration der Rechteausweitung durch Ausnutzung von Schwachstellen im Zusammenhang mit dem Speicherzugriff nach der Veröffentlichung (Use-After-Free) gezahlt.

ERFOLG – Keith Yeo ( @kyeojy ) gewann $40 und 4 Master of Pwn-Punkte für einen Use-After-Free-Exploit auf Ubuntu Desktop.

Welche Komponenten des Problems noch nicht gemeldet sind, laut Wettbewerbsbedingungen werden detaillierte Informationen zu allen nachgewiesenen 0-Day-Schwachstellen erst nach 90 Tagen veröffentlicht, die für die Vorbereitung von Updates durch Hersteller zur Behebung von Schwachstellen gegeben sind.

ERFOLG – Beim letzten Versuch an Tag 2 demonstrierten Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) und Xinyu Xing (@xingxinyu) vom TUTELARY-Team der Northwestern University erfolgreich einen Use After Free-Bug, der zu einer Erhöhung der Berechtigungen in Ubuntu Desktop führte . Das bringt Ihnen $40,000 und 4 Master of Pwn-Punkte ein.

Team Orca von Sea Security (security.sea.com) konnte 2 Bugs auf Ubuntu Desktop ausführen: Out-of-Bounds Write (OOBW) und Use-After-Free (UAF), was 40,000 US-Dollar und 4 Master of Pwn-Punkte einbrachte .

ERFOLG: Team Orca von Sea Security (security.sea.com) konnte 2 Bugs auf Ubuntu Desktop ausführen: Out-of-Bounds Write (OOBW) und Use-After-Free (UAF) und gewann 40,000 US-Dollar und 4 Master of Pwn-Punkte.

Von den anderen Angriffen, die erfolgreich durchgeführt werden konnten, können wir die folgenden erwähnen:

  • 100 Dollar für die Entwicklung eines Exploits für Firefox, der es ermöglichte, durch Öffnen einer speziell gestalteten Seite die Isolierung der Sandbox zu umgehen und Code im System auszuführen.
  • 40,000 US-Dollar für die Demonstration eines Exploits, der einen Pufferüberlauf in Oracle Virtualbox ausnutzt, um einen Gast abzumelden.
  • 50,000 $ für das Ausführen von Apple Safari (Pufferüberlauf).
  • 450,000 US-Dollar für Microsoft Teams-Hacks (verschiedene Teams demonstrierten drei Hacks mit einer Belohnung von
  • 150,000 $ pro Stück).
  • 80,000 US-Dollar (zwei Boni von 40,000 US-Dollar), um Pufferüberläufe und Privilegieneskalation in Microsoft Windows 11 zu nutzen.
  • 80,000 US-Dollar (zwei Prämien von 40,000 US-Dollar), um einen Fehler im Zugriffsverifizierungscode auszunutzen, um Ihre Privilegien in Microsoft Windows 11 zu erhöhen.
  • 40 $ für die Ausnutzung des Integer-Überlaufs, um Ihre Privilegien in Microsoft Windows 11 zu erhöhen.
  • 40,000 US-Dollar für die Ausnutzung einer Use-After-Free-Schwachstelle in Microsoft Windows 11.
  • 75,000 US-Dollar für die Demonstration eines Angriffs auf das Infotainmentsystem eines Tesla Model 3. Der Exploit nutzte einen Pufferüberlauf und kostenlose doppelte Fehler sowie eine zuvor bekannte Sandbox-Bypass-Technik.

Zu guter Letzt sei erwähnt, dass an den zwei Wettkampftagen trotz der drei erlaubten Hacking-Versuche folgende Fehler aufgetreten sind: Microsoft Windows 11 (6 erfolgreiche Hacks und 1 fehlgeschlagen), Tesla (1 Hack erfolgreich und 1 fehlgeschlagen ) und Microsoft Teams (3 erfolgreiche Hacks und 1 fehlgeschlagen). In diesem Jahr gab es keine Anfragen zur Demonstration von Exploits in Google Chrome.

Schließlich Wenn Sie mehr darüber wissen möchten, Sie können die Details im ursprünglichen Beitrag unter überprüfen den folgenden Link.


Der Inhalt des Artikels entspricht unseren Grundsätzen von redaktionelle Ethik. Um einen Fehler zu melden, klicken Sie auf hier.

Schreiben Sie den ersten Kommentar

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.