resulta sa duha ka adlaw nga kompetisyon Pwn2Own 2020, nga gihimo kada tuig isip kabahin sa CanSecWest conference. Karong tuiga ang kompetisyon gihimo halos ug ang mga pag-atake gipakita online. Gipresentar sa kompetisyon ang mga pamaagi sa pagtrabaho alang sa pagpahimulos sa wala pa nahibal-an nga mga kahuyangan sa Ubuntu Desktop (Linux kernel), Windows, macOS, Safari, VirtualBox ug Adobe Reader. Ang kinatibuk-ang kantidad sa pagbayad kay 270 ka libo ka dolyares (total prize fund labaw pa sa 4 milyon nga dolyar sa US).
- Lokal nga pagsaka sa mga pribilehiyo sa Ubuntu Desktop pinaagi sa pagpahimulos sa usa ka kahuyang sa Linux kernel nga nalangkit sa sayop nga pag-verify sa input values ββ(premyo $30);
- Ang demonstrasyon sa paggawas sa bisita nga palibot sa VirtualBox ug pagpatuman sa code nga adunay mga katungod sa hypervisor, pagpahimulos sa duha ka mga kahuyangan - ang abilidad sa pagbasa sa datos gikan sa usa ka lugar sa gawas sa gigahin nga buffer ug usa ka sayup sa dihang nagtrabaho uban sa mga uninitialized variables (usa ka premyo nga 40 ka libo nga dolyares). Sa gawas sa kompetisyon, ang mga representante sa Zero Day Initiative nagpakita usab sa laing VirtualBox hack, nga nagtugot sa pag-access sa host system pinaagi sa mga manipulasyon sa bisita nga palibot;
- Pag-hack sa Safari nga adunay taas nga mga pribilehiyo sa lebel sa macOS kernel ug gipadagan ang calculator ingon gamut. Alang sa pagpahimulos, usa ka kadena sa 6 nga mga sayup ang gigamit (premyo nga 70 ka libo nga dolyar);
- Duha ka demonstrasyon sa lokal nga pag-usbaw sa pribilehiyo sa Windows pinaagi sa pagpahimulos sa mga kahuyangan nga mosangpot sa pag-access sa usa ka libre na nga memory area (duha ka premyo nga 40 ka libo nga dolyar matag usa);
- Pag-angkon og access sa administrator sa Windows sa dihang magbukas sa usa ka espesyal nga gidisenyo nga PDF nga dokumento sa Adobe Reader. Ang pag-atake naglakip sa mga kahuyangan sa Acrobat ug sa Windows kernel nga may kalabutan sa pag-access sa na-libre na nga mga lugar sa memorya (premyo nga $50).
Ang mga nominasyon alang sa pag-hack sa Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office ug Microsoft Windows RDP nagpabilin nga wala maangkon. Usa ka pagsulay nga gihimo sa pag-hack sa VMware Workstation, apan kini wala molampos.
Sama sa miaging tuig, ang mga kategorya sa premyo wala maglakip sa mga hack sa kadaghanan sa mga open source nga proyekto (nginx, OpenSSL, Apache httpd).
Sa tinuud, mahimo naton mahibal-an ang hilisgutan sa pag-hack sa mga sistema sa kasayuran sa usa ka awto sa Tesla. Walaβy pagsulay sa pag-hack sa Tesla sa kompetisyon, bisan pa sa labing kataas nga premyo nga $ 700 ka libo, apan gilain bahin sa pag-ila sa usa ka pagkahuyang sa DoS (CVE-2020-10558) sa Tesla Model 3, nga nagtugot, sa pag-abli sa usa ka espesyal nga gidisenyo nga panid sa built-in nga browser, aron ma-disable ang mga pahibalo gikan sa autopilot ug makabalda sa operasyon sa mga sangkap sama sa speedometer, browser, air conditioning, navigation system, ug uban pa.
Source: opennet.ru