äskettäin he ilmoittivat itsensä blogikirjoituksen kautta Pwn2Own 2022 -kilpailun kolmen päivän tulokset, joka järjestetään vuosittain osana CanSecWest-konferenssia.
Tämän vuoden painoksessa tekniikoiden on osoitettu toimivan haavoittuvuuksien hyväksikäytössä aiemmin tuntematon Ubuntu Desktopille, Virtualboxille, Safarille, Windows 11:lle, Microsoft Teamsille ja Firefoxille. Kaikkiaan 25 onnistunutta hyökkäystä esitettiin ja kolme yritystä päättyi epäonnistumiseen. Hyökkäyksissä käytettiin uusimpia vakaita versioita sovelluksista, selaimista ja käyttöjärjestelmistä kaikilla saatavilla olevilla päivityksillä ja oletusasetuksissa. Maksetun palkkion kokonaismäärä oli 1.155.000 XNUMX XNUMX US$.
Pwn2Own Vancouver by 2022 on käynnissä, ja kilpailun 15-vuotisjuhlapäivänä on jo nähty uskomatonta tutkimusta esillä. Pysy kuulolla tätä blogia saadaksesi päivitetyt tulokset, kuvat ja videot tapahtumasta. Julkaisemme kaiken täällä, mukaan lukien uusimman Master of Pwn -tulostaulukon.
Kilpailu osoitti viisi onnistunutta yritystä hyödyntää aiemmin tuntemattomia haavoittuvuuksia Ubuntu Desktopissa, jonka ovat tehneet eri osallistujatiimit.
palkittiin a 40,000 XNUMX dollarin palkinto paikallisten etuoikeuksien eskaloinnin osoittamisesta Ubuntu Desktopissa hyödyntämällä kahta puskurin ylivuoto- ja kaksoisvapautusongelmia. Neljä bonusta, kukin arvoltaan 40,000 XNUMX dollaria, maksettiin etuoikeuksien lisääntymisen osoittamisesta käyttämällä hyväksi muistin käyttöön liittyviä haavoittuvuuksia sen julkaisun jälkeen (Use-After-Free).
MENESTYS – Keith Yeo ( @kyeojy ) voitti 40 4 dollaria ja XNUMX Master of Pwn -pistettä Use-After-Free -käytöstä Ubuntu Desktopilla.
Mitä ongelman komponentteja ei ole vielä raportoitu, kilpailun ehtojen mukaan yksityiskohtaiset tiedot kaikista osoitetuista 0-päivän haavoittuvuuksista julkaistaan vasta 90 päivän kuluttua, jotka annetaan valmistajien päivitysten valmisteluun haavoittuvuuksien poistamiseksi.
MENESTYS – Päivän 2 viimeisessä yrityksessä Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) ja Xinyu Xing (@xingxinyu) Northwesternin yliopiston TUTELARY-tiimistä onnistui osoittamaan Use After Free -virheen, joka johti etuoikeuksien nousuun Ubuntussa. Työpöytä. Tästä saat 40,000 4 dollaria ja XNUMX Master of Pwn -pistettä.
Team Orca of Sea Security (security.sea.com) pystyi suorittamaan 2 virhettä Ubuntu Desktopissa: Out-of-Bounds Write (OOBW) ja Use-After-Free (UAF), ansaitsemalla 40,000 4 dollaria ja XNUMX Master of Pwn -pistettä .
MENESTYS: Team Orca of Sea Security (security.sea.com) pystyi suorittamaan kaksi vikaa Ubuntu Desktopissa: Out-of-Bounds Write (OOBW) ja Use-After-Free (UAF) voittaen 2 40,000 dollaria ja 4 Master of Pwn pisteet.
Muista hyökkäyksistä, jotka voidaan suorittaa onnistuneesti, voimme mainita seuraavat:
- 100 tuhatta dollaria Firefoxin hyväksikäytön kehittämiseen, joka mahdollisti avaamalla erityisesti suunnitellun sivun hiekkalaatikon eristämisen kiertämisen ja koodin suorittamisen järjestelmässä.
- 40,000 XNUMX dollaria sellaisen hyväksikäytön esittelystä, joka hyödyntää Oracle Virtualboxin puskurin ylivuotoa vieraan kirjaamiseen ulos.
- 50,000 XNUMX dollaria Apple Safarin käyttämisestä (puskurin ylivuoto).
- 450,000 XNUMX dollaria Microsoft Teamsin hakkeroista (eri tiimit esittivät kolme hakkerointia ja palkkio
- 150,000 XNUMX dollaria kappale).
- 80,000 40,000 dollaria (kaksi 11 XNUMX dollarin bonusta) puskurin ylivuodon ja oikeuksien lisääntymisen hyödyntämiseksi Microsoft Windows XNUMX:ssä.
- 80,000 40,000 dollaria (kaksi 11 XNUMX dollarin bonusta) pääsyn vahvistuskoodin virheen hyödyntämiseen Microsoft Windows XNUMX:n oikeuksien parantamiseksi.
- 40 11 dollaria kokonaislukujen ylivuodon hyödyntämiseen Microsoft Windows XNUMX:n oikeuksien parantamiseen.
- 40,000 11 dollaria Microsoft Windows XNUMX:n Use-After-Free-haavoittuvuuden hyödyntämisestä.
- 75,000 3 dollaria Tesla Model XNUMX -auton tieto- ja viihdejärjestelmää vastaan tehdyn hyökkäyksen osoittamisesta. Hyökkäys käytti puskurin ylivuotoa ja ilmaisia kaksoisvirheitä sekä aiemmin tunnettua hiekkalaatikon ohitustekniikkaa.
Viimeisenä mutta ei vähäisimpänä mainitaan, että kahden kilpailupäivän aikana kolmesta sallitusta hakkerointiyrityksestä huolimatta tapahtuneet epäonnistumiset ovat seuraavat: Microsoft Windows 11 (6 onnistunutta hakkerointia ja 1 epäonnistunut), Tesla (1 hakkerointi onnistui ja 1 epäonnistunut). ) ja Microsoft Teams (3 onnistunutta hakkerointia ja 1 epäonnistunut). Tänä vuonna ei ole pyydetty Google Chromen hyväksikäyttöä.
Vihdoin jos olet kiinnostunut tietämään siitä enemmän, Voit tarkistaa tiedot alkuperäisestä viestistä osoitteessa seuraava linkki.