Ang mga resulta sa tulo ka adlaw sa kompetisyon sa Pwn2Own 2022, nga gihimo kada tuig isip kabahin sa komperensya sa CanSecWest, gisumada. Ang mga pamaagi sa pagtrabaho alang sa pagpahimulos sa wala pa nahibal-an nga mga kahuyangan gipakita alang sa Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams ug Firefox. Usa ka kinatibuk-an nga 25 nga malampuson nga mga pag-atake ang gipakita, ug tulo nga pagsulay natapos sa kapakyasan. Gigamit sa mga pag-atake ang pinakabag-o nga stable nga pagpagawas sa mga aplikasyon, browser ug operating system nga adunay tanang available nga updates ug default configurations. Ang kinatibuk-ang kantidad sa suhol nga gibayad kay USD 1,155,000.
Gipakita sa kompetisyon ang lima ka malampuson nga pagsulay sa pagpahimulos sa wala pa nahibal-an nga mga kahuyangan sa Ubuntu Desktop, nga gihimo sa lainlaing mga grupo sa mga partisipante. Usa ka $40 nga premyo ang gibayad alang sa pagpakita sa lokal nga pagtaas sa pribilehiyo sa Ubuntu Desktop pinaagi sa pagpahimulos sa duha ka buffer overflow ug doble nga libre nga mga isyu. Upat ka mga awards, matag usa nagkantidad og $40, ang gihatag alang sa pagpakita sa pag-uswag sa pribilehiyo pinaagi sa pagpahimulos sa Use-After-Free vulnerabilities.
Ang eksaktong mga sangkap sa problema wala pa gitaho; uyon sa mga termino sa kompetisyon, ang detalyado nga kasayuran bahin sa tanan nga gipakita nga 0-adlaw nga mga kahuyangan i-publish lamang pagkahuman sa 90 nga mga adlaw, nga gihatag sa mga tiggama aron maandam ang mga update nga magwagtang sa mga kahuyang.
Uban pang malampuson nga pag-atake:
- 100 ka libo nga dolyares alang sa pag-uswag sa usa ka pagpahimulos alang sa Firefox, nga nagtugot, sa pag-abli sa usa ka espesyal nga gidisenyo nga panid, sa pag-bypass sa sandbox isolation ug pagpatuman sa code sa sistema.
- $40 aron ipakita ang usa ka pagpahimulos nga naggamit sa usa ka buffer overflow sa Oracle Virtualbox aron maka-log out sa usa ka bisita.
- $50 ka libo alang sa pag-operate sa Apple Safari (buffer overflow).
- 450 ka libo nga dolyar alang sa pag-hack sa Microsoft Teams (lainlain nga mga koponan ang nagpakita sa tulo ka mga hack nga adunay ganti nga 150 ka libo alang sa matag usa).
- 80 ka libo nga dolyares (duha ka awards nga 40 ka libo matag usa) alang sa pagpahimulos sa buffer overflows ug pagpadako sa mga pribilehiyo sa usa ka tawo sa Microsoft Windows 11.
- 80 libong dolyares (duha ka awards nga 40 ka libo matag usa) alang sa pagpahimulos sa usa ka bug sa access verification code aron madugangan ang mga pribilehiyo sa usa ka tawo sa Microsoft Windows 11.
- $40K alang sa pagpahimulos sa integer overflow aron madugangan ang mga pribilehiyo sa Microsoft Windows 11.
- $40 ka libo alang sa pagpahimulos sa usa ka Use-After-Free nga kahuyangan sa Microsoft Windows 11.
- $75 ka libo alang sa pagpakita sa usa ka pag-atake sa infotainment nga sistema sa usa ka Telsa Model 3. Ang pagpahimulos migamit sa mga bug nga mitultol ngadto sa buffer overflows ug double frees, uban sa usa ka kanhi nailhan nga teknik sa pag-bypass sa sandbox isolation.
Ang bulag nga mga pagsulay gihimo, apan wala molampos, sa pag-hack sa Microsoft Windows 11 (6 ka malampuson nga hack ug 1 wala molampos), Tesla (1 malampuson nga hack ug 1 wala molampos) ug Microsoft Teams (3 ka malampuson nga hack ug 1 wala molampos). Walaβy mga hangyo nga ipakita ang mga pagpahimulos sa Google Chrome karong tuiga.
Source: opennet.ru