Pwn2Own 2033 在温哥华举行
最近 结果 比赛的三天 Pwn2Own 2023,这是每年在温哥华举行的 CanSecWest 会议的一部分。
在这个新版本中 技术已被证明可以利用漏洞 以前未知的 Ubuntu、Apple macOS、Oracle VirtualBox、VMWare Workstation、Microsoft Windows 11、Microsoft Teams、Microsoft SharePoint 和 Tesla 车辆。
总共展示了 27 次成功的攻击 利用了以前未知的漏洞。
对于不熟悉 Pwn2Own 的人,你应该知道这是由趋势科技零日攻击计划 (ZDI) 组织的全球黑客活动,该活动从 2005 年开始举办。在其中,一些最优秀的黑客团队与技术目标展开竞争. defaults 和彼此,使用“零日”漏洞利用。
这些精英黑客赏金猎人和安全研究人员有严格的时间限制才能成功“击败”相关目标。 成功的奖励是在 Masters of Pwn 排行榜上增加积分,并且不应低估 Pwn2Own 的荣誉,因为这里竞争激烈,奖金丰厚。 Pwn2Own Vancouver 2023 总奖金超过 1 万美元。
第一个倒下的是 Adobe Reader 在 Abdul Aziz Hariri 之后的商业应用程序类别中(@阿布达里里) 来自 Haboob SA 功勋 针对一个 6-bug 逻辑链,该链滥用了多个失败的补丁,这些补丁逃过了沙箱并绕过了 macOS 中被禁止的 API 列表,赢得了 50.000 美元。
在比赛中 展示了五次成功的爆炸尝试 以前未知的漏洞 Ubuntu桌面, 由不同的参与者团队制作。
问题是由内存的双重释放引起的 (30 万美元的奖金), 释放后的内存访问 (30 万美元的奖金),不正确的指针处理(30 万美元的奖金)。 在两个已知但未修复的演示中,使用了漏洞(两次奖金为 15 美元)。 此外,还进行了第六次攻击 Ubuntu 的尝试,但漏洞利用没有奏效。
关于问题的组件尚未报告,根据竞赛条款,所有已证明的零日漏洞的详细信息将在 90 天后发布,以供制造商准备更新以消除漏洞。
关于其他演示 在成功的攻击中,提到了以下内容:
- 三个 Oracle VirtualBox 黑客利用由释放后内存访问漏洞、缓冲区溢出和读出缓冲区引起的漏洞(两次 40 万美元奖金和 80 万美元奖金用于利用 3 个允许在主机端执行代码的漏洞)。
- Apple 的 macOS Elevation(40 万美元高级版)。
- 对 Microsoft Windows 11 的两次攻击使他们能够增加特权(30.000 美元奖金)。
- 这些漏洞是由 post-free 内存访问和不正确的输入验证引起的。
- 使用漏洞中的两个漏洞链攻击 Microsoft Teams(75,000 美元溢价)。
- 对 Microsoft SharePoint 的攻击(100,000 美元奖金)。
- 通过访问空闲内存和未初始化的变量来攻击 VMWare 工作站(80 美元的溢价)。
- 在 Adobe Reader 中呈现内容时执行代码。 一个由 6 个错误组成的复杂链用于攻击、绕过沙箱并访问被禁止的 API(奖金 50,000 美元)。
两次攻击特斯拉汽车信息娱乐系统和特斯拉网关,获得 root 访问权限。 一等奖是 100,000 万美元和一辆特斯拉 Model 3 汽车,二等奖是 250,000 万美元。
这些攻击使用了最新的稳定版本的应用程序、浏览器和操作系统,以及所有可用的更新和默认设置。 支付的赔偿总额为 1,035,000 美元和一辆汽车。 得分最高的团队获得了 530,000 美元和一辆特斯拉 Model 3。
最后,如果你有兴趣了解更多,可以咨询详情 在下面的链接中。