nemrég ismerték magukat egy blogbejegyzésen keresztül A Pwn2Own 2022 verseny három napjának eredményei, amelyet évente a CanSecWest konferencia keretében rendeznek meg.
Az idei kiadásban technikák bizonyítottan működnek a sebezhetőségek kihasználására korábban ismeretlen Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams és Firefox számára. Összesen 25 sikeres támadást demonstráltak, és három kísérlet végződött kudarccal. A támadások az alkalmazások, böngészők és operációs rendszerek legújabb stabil verzióit használták, az összes elérhető frissítéssel és alapértelmezett beállításokkal. A kifizetett javadalmazás teljes összege 1.155.000 XNUMX XNUMX USD volt.
A Pwn2Own Vancouver 2022-re már folyamatban van, és a verseny 15. évfordulója alkalmából már hihetetlen kutatásokat is bemutattak. Kövesd figyelemmel ezt a blogot az esemény frissített eredményeiért, képeiért és videóiért. Itt közzétesszük az összeset, beleértve a Master of Pwn legújabb ranglistáját is.
A verseny öt sikeres kísérletet mutatott be a korábban ismeretlen sérülékenységek kihasználására az Ubuntu Desktopban, amelyet a résztvevők különböző csapatai készítettek.
kitüntetésben részesült a 40,000 XNUMX dolláros díj az Ubuntu Desktop helyi kiváltságainak fokozásáért két puffertúlcsordulás és kettős kiadási probléma kihasználásával. Négy, egyenként 40,000 XNUMX dollár értékű bónuszt fizettek azért, mert demonstrálták a privilégiumok eszkalációját a memória-hozzáféréssel kapcsolatos sebezhetőségek kihasználásával a kiadás után (Use-After-Free).
SIKER – Keith Yeo (@kyeojy) 40 4 dollárt és XNUMX Master of Pwn pontot nyert egy Ubuntu Desktopon végzett Use-After-Free exploitért.
A probléma mely összetevőiről még nem számoltak be, a verseny feltételei szerint csak 0 nap elteltével jelennek meg részletes információk az összes kimutatott 90 napos sérülékenységről, melyeket a gyártók a biztonsági rések eltávolítását célzó frissítések előkészítésére adnak.
SIKER – A 2. napon az utolsó kísérletben Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) és Xinyu Xing (@xingxinyu) a Northwestern Egyetem TUTELARY csapatából sikeresen demonstrált egy Use After Free hibát, amely az Ubuntu privilégiumának emeléséhez vezetett. Asztali. Ezzel 40,000 4 dollárt és XNUMX Master of Pwn pontot kapsz.
A Team Orca of Sea Security (security.sea.com) 2 hibát futtatott az Ubuntu Desktopon: egy Out-of-Bounds Write (OOBW) és egy UAF (UAF) használatot, így 40,000 4 dollárt és XNUMX Master of Pwn pontot szerzett. .
SIKER: A Team Orca of Sea Security (security.sea.com) két hibát futtatott az Ubuntu Desktopon: egy Out-of-Bounds Write (OOBW) és egy UAF (Use-After-Free), nyerve 2 40,000 dollárt és 4 Master of Pwn pontok.
A további sikeresen végrehajtható támadások közül a következőket említhetjük:
- 100 ezer dollár a Firefox exploitjának kifejlesztésére, amely lehetővé tette egy speciálisan kialakított oldal megnyitásával a sandbox izolációjának megkerülését és kód futtatását a rendszerben.
- 40,000 XNUMX dollár az Oracle Virtualbox puffertúlcsordulását kihasználó exploit demonstrálásáért a vendég kijelentkezéséért.
- 50,000 XNUMX dollár az Apple Safari futtatásához (puffer túlcsordulás).
- 450,000 XNUMX dollár a Microsoft Teams feltöréseiért (a különböző csapatok három feltörést mutattak be, jutalommal
- egyenként 150,000 XNUMX dollár).
- 80,000 40,000 dollár (két 11 XNUMX dolláros bónusz), hogy kihasználja a puffertúlcsordulást és a jogosultságok kiszélesítését a Microsoft Windows XNUMX rendszerben.
- 80,000 40,000 dollár (két 11 XNUMX dolláros bónusz) a hozzáférés-ellenőrző kód hibájának kihasználására, hogy növelje jogosultságait a Microsoft Windows XNUMX rendszerben.
- 40 11 dollár az egész számok túlcsordulása kihasználására, hogy növelje jogosultságait a Microsoft Windows XNUMX rendszerben.
- 40,000 11 USD a Microsoft Windows XNUMX használat utáni szabadon használható biztonsági résének kihasználásáért.
- 75,000 3 dollár egy Tesla Model XNUMX autó infotainment rendszere elleni támadás demonstrálásáért. Az exploit puffer túlcsordulást és dupla hibákat mentesített, valamint egy korábban ismert sandbox bypass technikát.
Végül, de nem utolsósorban megemlítjük, hogy a verseny két napján a három engedélyezett feltörés ellenére előforduló hibák a következők: Microsoft Windows 11 (6 sikeres és 1 sikertelen feltörés), Tesla (1 sikeres és 1 sikertelen feltörés ) és a Microsoft Teams (3 sikeres és 1 sikertelen feltörés). Ebben az évben nem érkezett felkérés a Google Chrome kihasználásainak bemutatására.
Végül ha érdekel, hogy többet tudj meg róla, A részleteket az eredeti posztban nézheti meg a címen a következő link.