ಇತ್ತೀಚೆಗೆ ಅವರು ತಮ್ಮನ್ನು ತಾವು ತಿಳಿದುಕೊಂಡರು ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ ಮೂಲಕ Pwn2Own 2022 ಸ್ಪರ್ಧೆಯ ಮೂರು ದಿನಗಳ ಫಲಿತಾಂಶಗಳು, ಇದು ವಾರ್ಷಿಕವಾಗಿ CanSecWest ಸಮ್ಮೇಳನದ ಭಾಗವಾಗಿ ನಡೆಯುತ್ತದೆ.
ಈ ವರ್ಷದ ಆವೃತ್ತಿಯಲ್ಲಿ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಕೆಲಸ ಮಾಡಲು ತಂತ್ರಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗಿದೆ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲ ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್, ವರ್ಚುವಲ್ಬಾಕ್ಸ್, ಸಫಾರಿ, ವಿಂಡೋಸ್ 11, ಮೈಕ್ರೋಸಾಫ್ಟ್ ತಂಡಗಳು ಮತ್ತು ಫೈರ್ಫಾಕ್ಸ್ಗಾಗಿ. ಒಟ್ಟಾರೆಯಾಗಿ, 25 ಯಶಸ್ವಿ ದಾಳಿಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಯಿತು ಮತ್ತು ಮೂರು ಪ್ರಯತ್ನಗಳು ವಿಫಲವಾದವು. ದಾಳಿಗಳು ಲಭ್ಯವಿರುವ ಎಲ್ಲಾ ನವೀಕರಣಗಳೊಂದಿಗೆ ಮತ್ತು ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ಗಳು, ಬ್ರೌಸರ್ಗಳು ಮತ್ತು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂಗಳ ಇತ್ತೀಚಿನ ಸ್ಥಿರ ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸಿದೆ. ಸಂಭಾವನೆಯ ಒಟ್ಟು ಮೊತ್ತ US$1.155.000.
2 ರ ಹೊತ್ತಿಗೆ Pwn2022Own ವ್ಯಾಂಕೋವರ್ ನಡೆಯುತ್ತಿದೆ, ಮತ್ತು ಸ್ಪರ್ಧೆಯ 15 ನೇ ವಾರ್ಷಿಕೋತ್ಸವವು ಈಗಾಗಲೇ ಕೆಲವು ನಂಬಲಾಗದ ಸಂಶೋಧನೆಗಳನ್ನು ಪ್ರದರ್ಶಿಸಿದೆ. ಈವೆಂಟ್ನಿಂದ ನವೀಕರಿಸಿದ ಫಲಿತಾಂಶಗಳು, ಚಿತ್ರಗಳು ಮತ್ತು ವೀಡಿಯೊಗಳಿಗಾಗಿ ಈ ಬ್ಲಾಗ್ಗೆ ಟ್ಯೂನ್ ಮಾಡಿ. ಇತ್ತೀಚಿನ ಮಾಸ್ಟರ್ ಆಫ್ Pwn ಲೀಡರ್ಬೋರ್ಡ್ ಸೇರಿದಂತೆ ಎಲ್ಲವನ್ನೂ ನಾವು ಇಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡುತ್ತೇವೆ.
ಸ್ಪರ್ಧೆ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಐದು ಯಶಸ್ವಿ ಪ್ರಯತ್ನಗಳನ್ನು ಪ್ರದರ್ಶಿಸಿದರು ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ, ಭಾಗವಹಿಸುವವರ ವಿವಿಧ ತಂಡಗಳಿಂದ ಮಾಡಲ್ಪಟ್ಟಿದೆ.
ಎ ಪ್ರಶಸ್ತಿ ನೀಡಲಾಯಿತು ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ ಸ್ಥಳೀಯ ಸವಲತ್ತು ಹೆಚ್ಚಳವನ್ನು ಪ್ರದರ್ಶಿಸಿದ್ದಕ್ಕಾಗಿ $40,000 ಪ್ರಶಸ್ತಿ ಎರಡು ಬಫರ್ ಓವರ್ಫ್ಲೋ ಮತ್ತು ಡಬಲ್ ಬಿಡುಗಡೆ ಸಮಸ್ಯೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ. ಪ್ರತಿ $40,000 ಮೌಲ್ಯದ ನಾಲ್ಕು ಬೋನಸ್ಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದ ನಂತರ ಮೆಮೊರಿ ಪ್ರವೇಶಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ ಸವಲತ್ತು ಹೆಚ್ಚಳವನ್ನು ಪ್ರದರ್ಶಿಸಲು ಪಾವತಿಸಲಾಯಿತು (ಉಚಿತವಾಗಿ ಬಳಸಿ).
ಯಶಸ್ಸು - ಕೀತ್ ಯೆಯೊ (@kyeojy) ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ ಬಳಕೆಯ ನಂತರ-ಉಚಿತ ಶೋಷಣೆಗಾಗಿ $40K ಮತ್ತು 4 ಮಾಸ್ಟರ್ ಆಫ್ Pwn ಪಾಯಿಂಟ್ಗಳನ್ನು ಗೆದ್ದಿದ್ದಾರೆ.
ಸಮಸ್ಯೆಯ ಯಾವ ಅಂಶಗಳನ್ನು ಇನ್ನೂ ವರದಿ ಮಾಡಲಾಗಿಲ್ಲ, ಸ್ಪರ್ಧೆಯ ನಿಯಮಗಳ ಪ್ರಕಾರ, ಎಲ್ಲಾ ಪ್ರದರ್ಶಿಸಲಾದ 0-ದಿನದ ದೋಷಗಳ ಕುರಿತು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು 90 ದಿನಗಳ ನಂತರ ಮಾತ್ರ ಪ್ರಕಟಿಸಲಾಗುತ್ತದೆ, ದೋಷಗಳನ್ನು ತೆಗೆದುಹಾಕಲು ತಯಾರಕರು ನವೀಕರಣಗಳನ್ನು ತಯಾರಿಸಲು ಇದನ್ನು ನೀಡಲಾಗುತ್ತದೆ.
ಯಶಸ್ಸು - ದಿನದ 2 ರ ಅಂತಿಮ ಪ್ರಯತ್ನದಲ್ಲಿ, ನಾರ್ತ್ವೆಸ್ಟರ್ನ್ ವಿಶ್ವವಿದ್ಯಾಲಯದ ಟ್ಯುಟೆಲರಿ ತಂಡದಿಂದ ಝೆನ್ಪೆಂಗ್ ಲಿನ್ (@ಮಾರ್ಕಾಕ್_), ಯುಯೆಕಿ ಚೆನ್ (@ ಲೆವಿಸ್_ಚೆನ್_), ಮತ್ತು ಕ್ಸಿನ್ಯು ಕ್ಸಿಂಗ್ (@xingxinyu) ಅವರು ಉಬುನ್ಟ್ಯೂಶನ್ನಲ್ಲಿ ಸವಲತ್ತು ಉನ್ನತಿಗೆ ಕಾರಣವಾದ ಉಚಿತ ಬಗ್ ನಂತರ ಯಶಸ್ವಿಯಾಗಿ ಪ್ರದರ್ಶಿಸಿದರು. ಡೆಸ್ಕ್ಟಾಪ್. ಇದು ನಿಮಗೆ $40,000 ಮತ್ತು 4 ಮಾಸ್ಟರ್ ಆಫ್ Pwn ಅಂಕಗಳನ್ನು ನೀಡುತ್ತದೆ.
ಸೀ ಸೆಕ್ಯುರಿಟಿಯ ತಂಡ ಓರ್ಕಾ (security.sea.com) ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ 2 ಬಗ್ಗಳನ್ನು ಚಲಾಯಿಸಲು ಸಾಧ್ಯವಾಯಿತು: ಒಂದು ಔಟ್-ಆಫ್-ಬೌಂಡ್ಸ್ ರೈಟ್ (OOBW) ಮತ್ತು ಯೂಸ್-ಆಫ್ಟರ್-ಫ್ರೀ (UAF), $40,000 ಮತ್ತು 4 ಮಾಸ್ಟರ್ ಆಫ್ Pwn ಪಾಯಿಂಟ್ಗಳನ್ನು ಗಳಿಸಿತು. .
ಯಶಸ್ಸು: ಸೀ ಸೆಕ್ಯುರಿಟಿಯ ತಂಡ ಓರ್ಕಾ (security.sea.com) ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ 2 ಬಗ್ಗಳನ್ನು ಚಲಾಯಿಸಲು ಸಾಧ್ಯವಾಯಿತು: ಒಂದು ಔಟ್-ಆಫ್-ಬೌಂಡ್ಸ್ ರೈಟ್ (OOBW) ಮತ್ತು ಯೂಸ್-ಆಫ್ಟರ್-ಫ್ರೀ (UAF), $40,000 ಮತ್ತು 4 ಮಾಸ್ಟರ್ ಆಫ್ ಗೆದ್ದಿದೆ Pwn ಅಂಕಗಳು.
ಯಶಸ್ವಿಯಾಗಿ ನಡೆಸಬಹುದಾದ ಇತರ ದಾಳಿಗಳಲ್ಲಿ, ನಾವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಉಲ್ಲೇಖಿಸಬಹುದು:
- ಫೈರ್ಫಾಕ್ಸ್ನ ಶೋಷಣೆಯ ಅಭಿವೃದ್ಧಿಗೆ 100 ಸಾವಿರ ಡಾಲರ್ಗಳು, ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಪುಟವನ್ನು ತೆರೆಯುವ ಮೂಲಕ, ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ನ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ತಪ್ಪಿಸಲು ಮತ್ತು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.
- ಅತಿಥಿಯನ್ನು ಲಾಗ್ ಔಟ್ ಮಾಡಲು ಒರಾಕಲ್ ವರ್ಚುವಲ್ಬಾಕ್ಸ್ನಲ್ಲಿ ಬಫರ್ ಓವರ್ಫ್ಲೋನ ಪ್ರಯೋಜನವನ್ನು ಪಡೆಯುವ ಶೋಷಣೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು $40,000.
- ಆಪಲ್ ಸಫಾರಿಯನ್ನು ಚಲಾಯಿಸಲು $50,000 (ಬಫರ್ ಓವರ್ಫ್ಲೋ).
- ಮೈಕ್ರೋಸಾಫ್ಟ್ ತಂಡಗಳ ಹ್ಯಾಕ್ಗಳಿಗಾಗಿ $450,000 (ವಿವಿಧ ತಂಡಗಳು ಬಹುಮಾನದೊಂದಿಗೆ ಮೂರು ಹ್ಯಾಕ್ಗಳನ್ನು ಪ್ರದರ್ಶಿಸಿವೆ
- ತಲಾ $150,000).
- ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ 80,000 ನಲ್ಲಿ ಬಫರ್ ಓವರ್ಫ್ಲೋಗಳು ಮತ್ತು ಸವಲತ್ತು ಹೆಚ್ಚಳದ ಲಾಭ ಪಡೆಯಲು $40,000 (ಎರಡು $11 ಬೋನಸ್ಗಳು).
- Microsoft Windows 80,000 ನಲ್ಲಿ ನಿಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಪ್ರವೇಶ ಪರಿಶೀಲನೆ ಕೋಡ್ನಲ್ಲಿನ ದೋಷವನ್ನು ಬಳಸಿಕೊಳ್ಳಲು $40,000 (ಎರಡು $11 ಬೋನಸ್ಗಳು).
- ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ 40 ನಲ್ಲಿ ನಿಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಪೂರ್ಣಾಂಕದ ಓವರ್ಫ್ಲೋ ಅನ್ನು ಬಳಸಿಕೊಳ್ಳಲು $11k.
- ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ 40,000 ನಲ್ಲಿ ಬಳಕೆಯ-ನಂತರ-ಮುಕ್ತ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದಕ್ಕಾಗಿ $11.
- ಟೆಸ್ಲಾ ಮಾಡೆಲ್ 75,000 ಕಾರಿನ ಇನ್ಫೋಟೈನ್ಮೆಂಟ್ ಸಿಸ್ಟಂ ಮೇಲೆ ದಾಳಿಯನ್ನು ಪ್ರದರ್ಶಿಸಲು $3. ಈ ಹಿಂದೆ ತಿಳಿದಿರುವ ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ಬೈಪಾಸ್ ತಂತ್ರದ ಜೊತೆಗೆ ಬಫರ್ ಓವರ್ಫ್ಲೋ ಮತ್ತು ಉಚಿತ ಡಬಲ್ ಬಗ್ಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗಿದೆ.
ಕೊನೆಯದಾಗಿ ಆದರೆ ಕನಿಷ್ಠವಲ್ಲ, ಎರಡು ದಿನಗಳ ಸ್ಪರ್ಧೆಯಲ್ಲಿ ಅನುಮತಿಸಲಾದ ಮೂರು ಹ್ಯಾಕಿಂಗ್ ಪ್ರಯತ್ನಗಳ ಹೊರತಾಗಿಯೂ ಸಂಭವಿಸಿದ ವೈಫಲ್ಯಗಳು ಈ ಕೆಳಗಿನಂತಿವೆ: ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ 11 (6 ಯಶಸ್ವಿ ಹ್ಯಾಕ್ಗಳು ಮತ್ತು 1 ವಿಫಲವಾಗಿದೆ), ಟೆಸ್ಲಾ (1 ಹ್ಯಾಕ್ ಯಶಸ್ವಿಯಾಗಿದೆ ಮತ್ತು 1 ವಿಫಲವಾಗಿದೆ ) ಮತ್ತು ಮೈಕ್ರೋಸಾಫ್ಟ್ ತಂಡಗಳು (3 ಯಶಸ್ವಿ ಹ್ಯಾಕ್ಗಳು ಮತ್ತು 1 ವಿಫಲವಾಗಿದೆ). ಈ ವರ್ಷ Google Chrome ನಲ್ಲಿ ಶೋಷಣೆಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ಯಾವುದೇ ವಿನಂತಿಗಳಿಲ್ಲ.
ಅಂತಿಮವಾಗಿ ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ನೀವು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ಮೂಲ ಪೋಸ್ಟ್ನಲ್ಲಿ ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.