Pwn2Own 2022'de Ubuntu'da 5 güvenlik açığı gösterildi

Darkcrizt

4 minutos

geçenlerde kendilerini belli ettiler bir blog yazısı aracılığıyla Pwn2Own 2022 yarışmasının üç gününün sonuçlarıCanSecWest konferansının bir parçası olarak her yıl düzenlenen .

Bu yılki baskıda tekniklerin güvenlik açıklarından yararlanmak için çalıştığı kanıtlanmıştır önceden bilinmeyen Ubuntu Masaüstü, Virtualbox, Safari, Windows 11, Microsoft Teams ve Firefox için. Toplamda 25 başarılı saldırı gösterildi ve üç girişim başarısızlıkla sonuçlandı. Saldırılar, uygulamaların, tarayıcıların ve işletim sistemlerinin en son kararlı sürümlerini, mevcut tüm güncellemelerle ve varsayılan ayarlarda kullandı. Ödenen toplam ücret tutarı 1.155.000 ABD Doları idi.

2 yılına kadar Pwn2022Own Vancouver devam ediyor ve yarışmanın 15. yıl dönümü şimdiden inanılmaz araştırmalara sahne oldu. Etkinlikten güncellenmiş sonuçlar, resimler ve videolar için bu blogu takip etmeye devam edin. En son Master of Pwn lider panosu da dahil olmak üzere hepsini burada yayınlayacağız.

Yarışma daha önce bilinmeyen güvenlik açıklarından yararlanmak için beş başarılı girişimde bulundu farklı katılımcı ekipleri tarafından yapılan Ubuntu Desktop'ta.

verildi Ubuntu Desktop'ta yerel ayrıcalık artışını gösteren 40,000 ABD doları ödül iki arabellek taşması ve çift sürüm sorunlarından yararlanarak. Her biri 40,000 ABD Doları değerinde dört ikramiye, yayınlandıktan sonra bellek erişimiyle ilgili güvenlik açıklarından yararlanarak ayrıcalık yükseltmeyi göstermek için ödendi (Ücretsiz Kullanım Sonrası).

BAŞARI – Keith Yeo ( @kyeojy ), Ubuntu Masaüstünde Ücretsiz Kullanımdan Sonra Kullanım için 40 bin $ ve 4 Master of Pwn puanı kazandı.

Sorunun hangi bileşenlerinin henüz rapor edilmediği, yarışma şartlarına göre, gösterilen 0 günlük güvenlik açıklarının tümüne ilişkin ayrıntılı bilgiler, yalnızca üreticilerin güvenlik açıklarını ortadan kaldırmak için güncellemelerin hazırlanması için verilen 90 gün sonra yayınlanacaktır.

BAŞARI – 2. Gündeki son denemede, Northwestern Üniversitesi'nin TUTELARY ekibinden Zhenpeng Lin (@Markak_), Yueqi Chen (@Lewis_Chen_) ve Xinyu Xing (@xingxinyu), Ubuntu Masaüstünde ayrıcalık yükselmesine yol açan bir Ücretsiz Kullanım Sonrası hatasını başarıyla gösterdi. . Bu size 40,000$ ve 4 Master of Pwn puanı kazandırır.

Team Orca of Sea Security (security.sea.com), Ubuntu Masaüstünde 2 hata çalıştırabildi: Sınır Dışında Yazma (OOBW) ve Ücretsiz Kullanım Sonrası (UAF), 40,000 $ ve 4 Master of Pwn Puanı kazandı .

BAŞARI: Team Orca of Sea Security (security.sea.com), Ubuntu Masaüstünde 2 hata çalıştırabildi: Sınır Dışında Yazma (OOBW) ve Ücretsiz Kullanım Sonrası (UAF), 40,000 $ ve 4 Master of Pwn noktaları.

Başarıyla gerçekleştirilebilecek diğer saldırılardan ise şunları sayabiliriz:

  • Özel olarak tasarlanmış bir sayfa açarak, sandbox izolasyonunu atlatmaya ve sistemde kod yürütmeye izin veren Firefox için bir istismarın geliştirilmesi için 100 bin dolar.
  • Bir konuğun oturumunu kapatmak için Oracle Virtualbox'ta arabellek taşmasından yararlanan bir istismarın gösterilmesi için 40,000 ABD doları.
  • Apple Safari'yi çalıştırmak için 50,000 ABD Doları (arabellek taşması).
  • Microsoft Teams hack'leri için 450,000 $ (farklı ekipler, ödülle üç hack gösterdi
  • Her biri 150,000 ABD Doları).
  • Microsoft Windows 80,000'de arabellek taşmalarından ve ayrıcalık yükseltmesinden yararlanmak için 40,000 ABD Doları (iki 11 ABD Doları ikramiye).
  • Microsoft Windows 80,000'deki ayrıcalıklarınızı yükseltmek için erişim doğrulama kodundaki bir hatadan yararlanmak için 40,000 ABD Doları (iki 11 ABD Doları ikramiye).
  • Microsoft Windows 40'de ayrıcalıklarınızı yükseltmek için tamsayı taşmasından yararlanmak için 11 bin ABD doları.
  • Microsoft Windows 40,000'de Ücretsiz Kullanım Sonrası güvenlik açığından yararlanmak için 11 ABD doları.
  • Tesla Model 75,000 otomobilinin bilgi-eğlence sistemine yapılan bir saldırıyı göstermek için 3 dolar. Bu istismar, daha önce bilinen bir sandbox bypass tekniği ile birlikte arabellek taşması ve ücretsiz çift hataları kullandı.

Son olarak, yarışmanın iki gününde izin verilen üç hack girişimine rağmen meydana gelen başarısızlıkların şunlar olduğu belirtiliyor: Microsoft Windows 11 (6 başarılı hack ve 1 başarısız), Tesla (1 hack başarılı ve 1 başarısız) ) ve Microsoft Teams (3 başarılı hack ve 1 başarısız). Bu yıl Google Chrome'da açıklardan yararlanmaları göstermek için herhangi bir talep olmadı.

Nihayet hakkında daha fazla bilgi edinmek istiyorsanız, Ayrıntıları adresindeki orijinal gönderide kontrol edebilirsiniz. aşağıdaki bağlantı.


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.