- Локално повишаване на привилегиите в Ubuntu Desktop чрез използване на уязвимост в ядрото на Linux, свързана с неправилна проверка на входни стойности (награда $30 XNUMX);
- Демонстрация на излизане от среда за гости във VirtualBox и изпълнение на код с права на хипервайзор, експлоатиране на две уязвимости - възможност за четене на данни от област извън разпределения буфер и грешка при работа с неинициализирани променливи (награда от 40 хиляди долара). Извън конкуренцията представители на Zero Day Initiative също демонстрираха друг хак на VirtualBox, който позволява достъп до хост системата чрез манипулации в гост средата;
- Хакване на Safari с повишени привилегии до ниво ядро на macOS и стартиране на калкулатора като root. За експлоатация е използвана верига от 6 грешки (награда 70 хиляди долара);
- Две демонстрации на локална ескалация на привилегии в Windows чрез използване на уязвимости, които водят до достъп до вече освободена област на паметта (две награди от по 40 хиляди долара);
- Получаване на администраторски достъп в Windows при отваряне на специално проектиран PDF документ в Adobe Reader. Атаката включва уязвимости в Acrobat и ядрото на Windows, свързани с достъп до вече освободени области на паметта (награда от $50 XNUMX).
Номинациите за хакване на Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office и Microsoft Windows RDP останаха непотърсени. Направен е опит за хакване на VMware Workstation, но неуспешен.
Както миналата година, наградите не включват хакове на повечето проекти с отворен код (nginx, OpenSSL, Apache httpd).
Отделно можем да отбележим темата за хакване на информационните системи на автомобил Tesla. Нямаше опити за хакване на Tesla на състезанието, въпреки максималната награда от $700 хиляди, но отделно
Източник: opennet.ru