சமீபத்தில் அவர்கள் தங்களை வெளிப்படுத்தினர் ஒரு வலைப்பதிவு இடுகை மூலம் Pwn2Own 2022 போட்டியின் மூன்று நாட்களின் முடிவுகள், இது ஆண்டுதோறும் CanSecWest மாநாட்டின் ஒரு பகுதியாக நடத்தப்படுகிறது.
இந்த ஆண்டு பதிப்பில் பாதிப்புகளைச் சுரண்டுவதற்கு வேலை செய்யும் நுட்பங்கள் நிரூபிக்கப்பட்டுள்ளன முன்பு தெரியவில்லை Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams மற்றும் Firefox ஆகியவற்றிற்கு. மொத்தத்தில், 25 வெற்றிகரமான தாக்குதல்கள் நிரூபிக்கப்பட்டன மற்றும் மூன்று முயற்சிகள் தோல்வியில் முடிந்தது. தாக்குதல்கள் சமீபத்திய நிலையான பதிப்புகளான பயன்பாடுகள், உலாவிகள் மற்றும் இயக்க முறைமைகள் மற்றும் கிடைக்கக்கூடிய அனைத்து புதுப்பிப்புகள் மற்றும் இயல்புநிலை அமைப்புகளைப் பயன்படுத்தின. செலுத்தப்பட்ட மொத்த ஊதியம் US$1.155.000.
2 ஆம் ஆண்டிற்குள் Pwn2022Own Vancouver நடந்து கொண்டிருக்கிறது, மேலும் போட்டியின் 15 வது ஆண்டுவிழா ஏற்கனவே சில நம்பமுடியாத ஆராய்ச்சிகளை காட்சிப்படுத்தியுள்ளது. நிகழ்வின் புதுப்பிக்கப்பட்ட முடிவுகள், படங்கள் மற்றும் வீடியோக்களுக்கு இந்த வலைப்பதிவில் இணைந்திருங்கள். சமீபத்திய Master of Pwn லீடர்போர்டு உட்பட அனைத்தையும் இங்கே வெளியிடுவோம்.
போட்டி முன்னர் அறியப்படாத பாதிப்புகளை சுரண்ட ஐந்து வெற்றிகரமான முயற்சிகளை நிரூபித்தது உபுண்டு டெஸ்க்டாப்பில், பங்கேற்பாளர்களின் வெவ்வேறு குழுக்களால் உருவாக்கப்பட்டது.
ஏ வழங்கப்பட்டது உபுண்டு டெஸ்க்டாப்பில் உள்ளூர் சிறப்புரிமை அதிகரிப்பை நிரூபித்ததற்காக $40,000 விருது இரண்டு பஃபர் ஓவர்ஃப்ளோ மற்றும் இரட்டை வெளியீட்டு சிக்கல்களைப் பயன்படுத்துவதன் மூலம். ஒவ்வொன்றும் $40,000 மதிப்புள்ள நான்கு போனஸ்கள், அது வெளியிடப்பட்ட பிறகு (பயன்படுத்த-பிறகு-இலவசம்) நினைவக அணுகல் தொடர்பான பாதிப்புகளைப் பயன்படுத்தி சிறப்புரிமை அதிகரிப்பை நிரூபித்ததற்காக செலுத்தப்பட்டது.
வெற்றி - கீத் இயோ (@kyeojy) உபுண்டு டெஸ்க்டாப்பில் பயன்பாட்டிற்குப் பின் இலவசச் சுரண்டலுக்காக $40K மற்றும் 4 Master of Pwn புள்ளிகளை வென்றார்.
போட்டியின் விதிமுறைகளின்படி, சிக்கலின் எந்த கூறுகள் இன்னும் புகாரளிக்கப்படவில்லை, அனைத்து நிரூபிக்கப்பட்ட 0-நாள் பாதிப்புகள் பற்றிய விரிவான தகவல்கள் 90 நாட்களுக்குப் பிறகு மட்டுமே வெளியிடப்படும், அவை பாதிப்புகளை அகற்ற உற்பத்தியாளர்களால் புதுப்பிப்புகளைத் தயாரிப்பதற்காக வழங்கப்படுகின்றன.
வெற்றி – இரண்டாம் நாள் இறுதி முயற்சியில், வடமேற்கு பல்கலைக்கழகத்தின் TUTELARY குழுவைச் சேர்ந்த Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_), மற்றும் Xinyu Xing (@xingxinyu) ஆகியோர் Ubun tuskation இல் சிறப்புரிமை உயர்வுக்கு வழிவகுத்த இலவசப் பிழைக்குப் பிறகு பயன்படுத்துவதை வெற்றிகரமாக நிரூபித்துள்ளனர். . இது உங்களுக்கு $2 மற்றும் 40,000 Master of Pwn புள்ளிகளைப் பெறுகிறது.
கடல் பாதுகாப்பு குழு ஓர்கா (security.sea.com) உபுண்டு டெஸ்க்டாப்பில் 2 பிழைகளை இயக்க முடிந்தது: ஒரு எல்லைக்கு வெளியே எழுதுதல் (OOBW) மற்றும் யூஸ்-ஆஃப்டர்-ஃப்ரீ (UAF), $40,000 மற்றும் 4 மாஸ்டர் ஆஃப் Pwn புள்ளிகளைப் பெற்றது. .
வெற்றி: கடல் பாதுகாப்பு குழு ஓர்கா (security.sea.com) உபுண்டு டெஸ்க்டாப்பில் 2 பிழைகளை இயக்க முடிந்தது: எல்லைக்கு வெளியே எழுதுதல் (OOBW) மற்றும் யூஸ்-ஆஃப்டர்-ஃப்ரீ (UAF), $40,000 மற்றும் 4 மாஸ்டர் ஆஃப் வென்றது. Pwn புள்ளிகள்.
வெற்றிகரமாக நடத்தக்கூடிய மற்ற தாக்குதல்களில், பின்வருவனவற்றைக் குறிப்பிடலாம்:
- Firefox க்கான சுரண்டலை உருவாக்க 100 ஆயிரம் டாலர்கள், இது சிறப்பாக வடிவமைக்கப்பட்ட பக்கத்தைத் திறப்பதன் மூலம், சாண்ட்பாக்ஸின் தனிமைப்படுத்தலைத் தவிர்க்கவும், கணினியில் குறியீட்டை இயக்கவும் அனுமதித்தது.
- விருந்தினரை வெளியேற்ற ஆரக்கிள் விர்ச்சுவல்பாக்ஸில் பஃபர் ஓவர்ஃப்ளோவைப் பயன்படுத்தி ஒரு சுரண்டலைக் காட்ட $40,000.
- ஆப்பிள் சஃபாரியை இயக்குவதற்கு $50,000 (பஃபர் ஓவர்ஃப்ளோ).
- மைக்ரோசாஃப்ட் டீம்ஸ் ஹேக்குகளுக்கு $450,000 (வெவ்வேறு அணிகள் மூன்று ஹேக்குகளை வெகுமதியுடன் நிரூபித்தன.
- ஒவ்வொன்றும் $150,000).
- மைக்ரோசாப்ட் விண்டோஸ் 80,000 இல் பஃபர் ஓவர்ஃப்ளோக்கள் மற்றும் சிறப்புரிமை அதிகரிப்பு ஆகியவற்றைப் பயன்படுத்திக் கொள்ள $40,000 (இரண்டு $11 போனஸ்).
- மைக்ரோசாஃப்ட் விண்டோஸ் 80,000 இல் உங்கள் சிறப்புரிமைகளை உயர்த்த, அணுகல் சரிபார்ப்புக் குறியீட்டில் உள்ள பிழையைப் பயன்படுத்த $40,000 (இரண்டு $11 போனஸ்).
- மைக்ரோசாஃப்ட் விண்டோஸ் 40 இல் உங்கள் சிறப்புரிமைகளை உயர்த்துவதற்கு முழு எண் நிரம்பி வழிவதைப் பயன்படுத்த $11k.
- மைக்ரோசாஃப்ட் விண்டோஸ் 40,000 இல் பயன்பாட்டிற்குப் பிறகு-இலவச பாதிப்பைப் பயன்படுத்துவதற்கு $11.
- டெஸ்லா மாடல் 75,000 காரின் இன்ஃபோடெயின்மென்ட் சிஸ்டத்தின் மீதான தாக்குதலை நிரூபித்ததற்காக $3. சுரண்டலில் பஃபர் ஓவர்ஃப்ளோ மற்றும் இலவச இரட்டைப் பிழைகள், முன்பு அறியப்பட்ட சாண்ட்பாக்ஸ் பைபாஸ் நுட்பம் ஆகியவை பயன்படுத்தப்பட்டன.
கடைசியாக ஆனால் குறைந்தது அல்ல, இரண்டு நாட்களில் மூன்று ஹேக்கிங் முயற்சிகள் அனுமதிக்கப்பட்ட போதிலும் ஏற்பட்ட தோல்விகள் பின்வருமாறு குறிப்பிடப்பட்டுள்ளது: மைக்ரோசாப்ட் விண்டோஸ் 11 (6 வெற்றிகரமான ஹேக்குகள் மற்றும் 1 தோல்வி), டெஸ்லா (1 ஹேக் வெற்றி பெற்றது மற்றும் 1 தோல்வியடைந்தது. ) மற்றும் மைக்ரோசாஃப்ட் குழுக்கள் (3 வெற்றிகரமான ஹேக்குகள் மற்றும் 1 தோல்வியடைந்தது). இந்த ஆண்டு Google Chrome இல் சுரண்டல்களை நிரூபிக்க கோரிக்கைகள் எதுவும் இல்லை.
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், அசல் இடுகையில் உள்ள விவரங்களை நீங்கள் சரிபார்க்கலாம் பின்வரும் இணைப்பு.