最近 他们让自己为人所知 通过博客文章 Pwn2Own 2022 比赛三天的结果,作为 CanSecWest 会议的一部分每年举行一次。
在今年的版本中 技术已被证明可以利用漏洞 以前未知 适用于 Ubuntu 桌面、Virtualbox、Safari、Windows 11、Microsoft Teams 和 Firefox. 总共展示了 25 次成功的攻击,其中 1.155.000 次尝试以失败告终。 攻击使用具有所有可用更新和默认设置的最新稳定版本的应用程序、浏览器和操作系统。 支付的薪酬总额为XNUMX美元。
到 2 年的 Pwn2022Own 温哥华正在进行中,比赛的 15 周年纪念日已经展示了一些令人难以置信的研究。 请继续关注此博客以获取活动的更新结果、图像和视频。 我们将在此处发布所有内容,包括最新的 Master of Pwn 排行榜。
比赛 展示了利用以前未知漏洞的五次成功尝试 在 Ubuntu Desktop 中,由不同的参与者团队制作。
被授予 40,000 美元奖励用于在 Ubuntu 桌面中展示本地权限升级 通过利用两个缓冲区溢出和双重释放问题。 四项奖金,每项价值 40,000 美元,用于通过利用与内存访问相关的漏洞(释放后使用)来展示权限提升。
成功 – Keith Yeo (@kyeojy) 在 Ubuntu 桌面上的 Use-After-Free 漏洞利用赢得了 40 万美元和 4 个 Pwn 大师积分。
问题的哪些组件尚未报告,根据竞赛条款,所有已展示的 0-day 漏洞的详细信息将仅在 90 天后发布,以供制造商准备更新以消除漏洞。
成功 – 在第 2 天的最后一次尝试中,来自西北大学 TUTELARY 团队的 Jinpeng Lin (@Markak_)、Yueqi Chen (@Lewis_Chen_) 和 Xinyu Xing (@xingxinyu) 成功演示了导致 Ubuntu 中权限提升的 Use After Free 错误桌面。 这将为您带来 40,000 美元和 4 个 Pwn 大师积分。
Sea Security (security.sea.com) 的 Orca 团队能够在 Ubuntu 桌面上运行 2 个错误:越界写入 (OOBW) 和释放后使用 (UAF),获得 40,000 美元和 4 个 Pwn 大师积分.
成功:Sea Security (security.sea.com) 的 Orca 团队能够在 Ubuntu 桌面上运行 2 个错误:越界写入 (OOBW) 和释放后使用 (UAF),赢得 40,000 美元和 4 个 Master of Pwn 点。
在可以成功执行的其他攻击中,我们可以提及以下内容:
- 100 万美元用于开发 Firefox 漏洞利用,通过打开一个专门设计的页面,可以绕过沙箱的隔离并在系统中执行代码。
- 40,000 美元用于演示利用 Oracle Virtualbox 中的缓冲区溢出来注销来宾的漏洞。
- 50,000 美元用于运行 Apple Safari(缓冲区溢出)。
- 450,000 美元用于 Microsoft Teams hack(不同的团队展示了三个 hack,奖励为
- 每个 150,000 美元)。
- 80,000 美元(两个 40,000 美元的奖金)用于利用 Microsoft Windows 11 中的缓冲区溢出和权限提升。
- 80,000 美元(两个 40,000 美元奖金)用于利用访问验证码中的错误来提升您在 Microsoft Windows 11 中的权限。
- 40 万美元用于利用整数溢出来提升您在 Microsoft Windows 11 中的权限。
- 40,000 美元用于利用 Microsoft Windows 11 中的 Use-After-Free 漏洞。
- 75,000 美元用于演示对特斯拉 Model 3 汽车信息娱乐系统的攻击。该漏洞利用了缓冲区溢出和免费双重漏洞,以及以前已知的沙盒绕过技术。
最后但并非最不重要的一点是,在两天的比赛中,尽管允许进行 11 次黑客攻击,但仍出现以下故障:Microsoft Windows 6(1 次黑客成功,1 次失败),Tesla(1 次黑客成功,3 次失败) ) 和 Microsoft Teams(1 次成功的 hack 和 XNUMX 次失败)。 今年没有要求在 Google Chrome 中展示漏洞利用。
最后 如果您有兴趣了解更多信息, 您可以在原始帖子中查看详细信息 以下链接。