Pwn2Own ஒரு ஹேக்கிங் போட்டி 2007 ஆம் ஆண்டு தொடங்கி ஆண்டுதோறும் CanSecWest பாதுகாப்பு மாநாட்டில் நடைபெற்றது. பங்கேற்பாளர்கள் மென்பொருள் மற்றும் மொபைல் சாதனங்களை சுரண்டுவதற்கான சவாலை எதிர்கொள்கின்றனர் இதுவரை அறியப்படாத பாதிப்புகளுடன் பரவலாகப் பயன்படுத்தப்படுகிறது.
போட்டி வெற்றியாளர்கள் அவர்கள் சுரண்டப்பட்ட சாதனம், ரொக்கப் பரிசு மற்றும் “முதுநிலை” ஆகியவற்றைப் பெறுகிறார்கள்அவர் வெற்றி பெற்ற ஆண்டைக் கொண்டாடுகிறது. "Pwn2Own" என்ற பெயர் பங்கேற்பாளர்கள் "சொந்தமாக" அல்லது அதை வென்றெடுக்க சாதனத்தை "pwn" செய்ய வேண்டும் அல்லது ஹேக் செய்ய வேண்டும் என்பதிலிருந்து பெறப்பட்டது.
போட்டியில் பரவலாகப் பயன்படுத்தப்படும் சாதனங்கள் மற்றும் மென்பொருளின் பாதிப்பை நிரூபிக்க Pwn2Own பயன்படுத்தப்படுகிறது முந்தைய ஆண்டிலிருந்து பாதுகாப்பில் ஏற்பட்டுள்ள முன்னேற்றம் குறித்த சோதனைச் சாவடியையும் இது வழங்குகிறது.
Pwn2Own 2020 பற்றி
Pwn2Own 2020 இன் இந்த புதிய பதிப்பில், இந்த ஆண்டில் போட்டிகள் கிட்டத்தட்ட நடத்தப்பட்டன மற்றும் தாக்குதல்கள் ஆன்லைனில் காட்டப்பட்டன, கார்னோனா வைரஸ் (கோவிட் -19) பரவுவதன் மூலம் உருவாக்கப்பட்ட சிக்கல்கள் காரணமாக, இது உங்கள் அமைப்பாளராக முதல் முறையாக இருப்பது ஜீரோ டே முன்முயற்சி (ZDI), நிகழ்வை ஒழுங்கமைக்க முடிவு செய்துள்ளனர் பங்கேற்பாளர்களை நிரூபிக்க அனுமதிக்கிறது தொலைவிலிருந்து அவரது சுரண்டல்கள்.
போட்டியின் போது பாதிப்புகளைப் பயன்படுத்த பல்வேறு வேலை நுட்பங்கள் வழங்கப்பட்டன முன்பு தெரியவில்லை உபுண்டு டெஸ்க்டாப்பில் (லினக்ஸ் கர்னல்), விண்டோஸ், மேகோஸ், சஃபாரி, விர்ச்சுவல் பாக்ஸ் மற்றும் அடோப் ரீடர்.
கொடுப்பனவுகளின் மொத்த தொகை 270 ஆயிரம் டாலர்கள் (மொத்த பரிசுக் குளம் 4 மில்லியன் அமெரிக்க டாலர்களுக்கு மேல் இருந்தது).
சுருக்கமாக, போட்டியின் இரண்டு நாட்களின் முடிவுகள் கேன்செக்வெஸ்ட் மாநாட்டில் ஆண்டுதோறும் நடைபெறும் Pwn2Own 2020 பின்வருமாறு:
-
- Pwn2Own 2020 இன் முதல் நாளில், ஜார்ஜியா மென்பொருள் மற்றும் பாதுகாப்பு ஆய்வகத்தின் குழு தொழில்நுட்ப அமைப்புகள் (@SSLab_Gatech) மேகோஸ் கர்னல் நிலை சலுகை விரிவாக்கத்துடன் சஃபாரி ஹேக் மற்றும் ரூட் சலுகைகளுடன் கால்குலேட்டரைத் தொடங்கவும். தாக்குதல் சங்கிலி ஆறு பாதிப்புகளை உள்ளடக்கியது மற்றும் அணிக்கு, 70,000 XNUMX சம்பாதிக்க அனுமதித்தது.
- நிகழ்வின் போது "ரெட் ராக்கெட்" ஐச் சேர்ந்த மன்ஃப்ரெட் பால் உபுண்டு டெஸ்க்டாப்பில் உள்ளூர் சலுகைகளை அதிகரிப்பதை நிரூபிக்கும் பொறுப்பில் இருந்தார் உள்ளீட்டு மதிப்புகளின் தவறான சரிபார்ப்புடன் தொடர்புடைய லினக்ஸ் கர்னலில் ஒரு பாதிப்பை சுரண்டுவதன் மூலம். இதனால் அவருக்கு $ 30 பரிசு கிடைத்தது.
- Tambien மெய்நிகர் பாக்ஸில் விருந்தினர் சூழலை விட்டு வெளியேறி, ஹைப்பர்வைசரின் உரிமைகளுடன் குறியீட்டை இயக்குவதன் மூலம் இந்த ஆர்ப்பாட்டம் செய்யப்பட்டதுஇரண்டு பாதிப்புகளைப் பயன்படுத்துவதன் மூலம்: ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே உள்ள பகுதியிலிருந்து தரவைப் படிக்கும் திறன் மற்றும் ஆரம்பிக்கப்படாத மாறிகளுடன் பணிபுரியும் போது பிழை, இந்த குறைபாட்டை நிரூபிப்பதற்கான பரிசு, 40 XNUMX ஆகும். போட்டிக்கு வெளியே, ஜீரோ டே முன்முயற்சியின் பிரதிநிதிகள் மற்றொரு மெய்நிகர் பாக்ஸ் தந்திரத்தையும் நிரூபித்தனர், இது விருந்தினர் சூழலில் கையாளுதல்கள் மூலம் ஹோஸ்ட் அமைப்பை அணுக அனுமதிக்கிறது.
- இரண்டு ஆர்ப்பாட்டங்கள் பாதிப்புகளை சுரண்டுவதன் மூலம் விண்டோஸில் உள்ளூர் சலுகை அதிகரிப்பு இது ஏற்கனவே விடுவிக்கப்பட்ட நினைவக பகுதிக்கு அணுக வழிவகுக்கிறது, இந்த இரண்டு பரிசுகளும் ஒவ்வொன்றும் 40 ஆயிரம் டாலர்கள் வழங்கப்பட்டன.
- PDF ஆவணத்தைத் திறக்கும்போது விண்டோஸில் நிர்வாகி அணுகலைப் பெறுங்கள் அடோப் ரீடரில் சிறப்பாக வடிவமைக்கப்பட்டுள்ளது. அக்ரோபேட் மற்றும் விண்டோஸ் கர்னலில் ஏற்கனவே விடுவிக்கப்பட்ட நினைவக பகுதிகளை அணுகுவது தொடர்பான பாதிப்புகள் இந்த தாக்குதலில் அடங்கும் ($ 50 பரிசு).
மீதமுள்ள உரிமை கோரப்படாத பரிந்துரைகள் Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office மற்றும் Microsoft Windows RDP ஐ ஹேக்கிங் செய்ய பரிந்துரைக்கப்பட்டன.
விஎம்வேர் பணிநிலையத்தை ஹேக் செய்வதற்கான முயற்சியும் இருந்தது, ஆனால் முயற்சி தோல்வியடைந்தது. கடந்த ஆண்டைப் போலவே, பெரும்பாலான திறந்த திட்டங்களின் (என்ஜின்க்ஸ், ஓபன்எஸ்எஸ்எல், அப்பாச்சி httpd) ஹேக்கிங் விருது வகைகளில் நுழையவில்லை.
தனித்தனியாக, டெஸ்லா கார் தகவல் அமைப்புகளை ஹேக்கிங் செய்வதைப் பார்க்கலாம்.
போட்டியில் டெஸ்லாவை ஹேக் செய்ய எந்த முயற்சியும் எடுக்கப்படவில்லை.a, அதிகபட்ச பிரீமியம், 700 XNUMX ஆயிரம் இருந்தபோதிலும், ஆனால் DoS பாதிப்பு கண்டறிதல் பற்றி தனி தகவல் இருந்தது (CVE-2020-10558) டெஸ்லா மாடல் 3 இல், இது உள்ளமைக்கப்பட்ட உலாவி தன்னியக்க அறிவிப்புகளில் சிறப்பாக வடிவமைக்கப்பட்ட பக்கத்தை முடக்க அனுமதிக்கிறது மற்றும் ஸ்பீடோமீட்டர், நேவிகேட்டர், ஏர் கண்டிஷனிங், வழிசெலுத்தல் அமைப்பு போன்ற கூறுகளின் செயல்பாட்டை குறுக்கிட அனுமதிக்கிறது.