Ang mga mananaog sa tinuig nga Pwnie Awards 2021 gianunsyo, nga nagpasiugda sa labing mahinungdanon nga mga kahuyangan ug dili makatarunganon nga mga kapakyasan sa seguridad sa kompyuter. Ang Pwnie Awards gikonsiderar nga katumbas sa Oscars ug Golden Raspberries sa natad sa seguridad sa kompyuter.
Panguna nga mga mananaog (lista sa mga contenders):
- Labing maayo nga pagkahuyang nga mosangput sa pagtaas sa pribilehiyo. Ang kadaugan gihatag sa Qualys alang sa pag-ila sa kahuyang nga CVE-2021-3156 sa sudo utility, nga nagtugot kanimo nga makakuha og mga pribilehiyo sa gamut. Ang pagkahuyang anaa sa code sulod sa mga 10 ka tuig ug talagsaon nga ang pag-ila niini nagkinahanglan og usa ka bug-os nga pagtuki sa lohika sa utility.
- Labing maayo nga server bug. Gihatagan alang sa pag-ila ug pagpahimulos sa labing teknikal nga komplikado ug makapaikag nga bug sa usa ka serbisyo sa network. Ang kadaugan gihatag alang sa pag-ila sa usa ka bag-ong vector sa mga pag-atake sa Microsoft Exchange. Ang kasayuran bahin sa dili tanan nga mga kahuyangan sa kini nga klase gipatik, apan ang kasayuran gipadayag na bahin sa pagkahuyang nga CVE-2021-26855 (ProxyLogon), nga nagtugot kanimo sa pagkuha sa datos sa usa ka arbitraryong tiggamit nga wala’y panghimatuud, ug CVE-2021-27065 , nga nagpaposible sa pagpatuman sa imong code sa usa ka server nga adunay mga katungod sa tigdumala.
- Ang labing kaayo nga pag-atake sa cryptographic. Gihatagan alang sa pag-ila sa labing hinungdanon nga mga kal-ang sa tinuud nga mga sistema, protocol ug mga algorithm sa pag-encrypt. Ang award gihatag sa Microsoft alang sa usa ka pagkahuyang (CVE-2020-0601) sa pagpatuman sa mga digital nga pirma nga gibase sa mga elliptic curves, nga nagtugot sa paghimo sa mga pribadong yawe base sa mga yawe sa publiko. Gitugotan sa isyu ang paghimo og peke nga TLS nga mga sertipiko para sa HTTPS ug tinumotumo nga digital nga mga pirma nga gipamatud-an nga kasaligan sa Windows.
- Ang pinakabag-o nga panukiduki sukad. Ang premyo gihatag ngadto sa mga tigdukiduki nga nagsugyot sa BlindSide nga pamaagi sa pag-bypass sa address-based randomization (ASLR) nga proteksyon gamit ang side-channel leaks nga resulta sa speculative processor execution sa mga instruksiyon.
- Ang pinakadako nga kapakyasan (Most Epic FAIL). Ang award gihatag ngadto sa Microsoft alang sa balik-balik nga pagpagawas sa usa ka guba nga ayuhon alang sa PrintNightmare vulnerability (CVE-2021-34527) sa Windows printing system nga nagtugot sa code execution. Sa sinugdan gi-flag sa Microsoft ang problema isip lokal, apan pagkahuman nahimo nga ang pag-atake mahimo nga himuon sa layo. Pagkahuman gipatik sa Microsoft ang mga pag-update upat ka beses, apan sa matag higayon nga ang pag-ayo nagsira lamang sa usa ka espesyal nga kaso ug ang mga tigdukiduki nakakaplag usa ka bag-ong paagi aron mahimo ang pag-atake.
- Ang labing kaayo nga bug sa software sa kliyente. Ang mananaog mao ang tigdukiduki nga nagpaila sa kahuyang sa CVE-2020-28341 sa Samsung secure cryptoprocessors, nga nakadawat og CC EAL 5+ security certificate. Ang pagkahuyang nagpaposible sa hingpit nga paglaktaw sa seguridad ug pag-access sa code nga nagdagan sa chip ug data nga gitipigan sa enclave, pag-bypass sa lock sa screen saver, ug paghimo usab mga pagbag-o sa firmware aron makahimo usa ka tinago nga backdoor.
- Ang labing gipakaubos nga kahuyang. Ang award gihatag sa Qualys tungod sa pag-ila sa usa ka serye sa 21Nails nga mga kahuyangan sa Exim mail server, 10 niini mahimong mapahimuslan sa layo. Ang mga nag-develop sa Exim nagduhaduha nga ang mga problema mahimong mapahimuslan ug mogugol sa sobra sa 6 ka bulan sa pagpalambo sa mga pag-ayo.
- Lamest Vendor Response. Nominasyon alang sa labing dili igo nga tubag sa usa ka mensahe bahin sa pagkahuyang sa imong kaugalingon nga produkto. Ang mananaog mao ang Cellebrite, usa ka kompanya nga nagmugna og mga aplikasyon alang sa forensic analysis ug data extraction sa mga ahensya nga nagpatuman sa balaod. Ang Cellebrite wala motubag nga igo sa usa ka taho sa kahuyang nga gipadala ni Moxie Marlinspike, ang tagsulat sa Signal protocol. Si Moxey nahimong interesado sa Cellebrite human sa publikasyon sa media sa usa ka nota mahitungod sa paghimo sa usa ka teknolohiya nga nagtugot sa pag-hack sa mga naka-encrypt nga mga mensahe sa Signal, nga sa ulahi nahimo nga usa ka peke tungod sa sayop nga paghubad sa impormasyon sa usa ka artikulo sa website sa Cellebrite, nga mao dayon gikuha ("ang pag-atake" nagkinahanglan sa pisikal nga pag-access sa telepono ug ang abilidad sa pagtangtang sa lock screen, i.e. kini gikunhoran sa pagtan-aw sa mga mensahe sa messenger, apan dili sa mano-mano, apan sa paggamit sa usa ka espesyal nga aplikasyon nga nagsundog sa mga aksyon sa user).
Gitun-an ni Moxey ang mga aplikasyon sa Cellebrite ug nakit-an ang mga kritikal nga kahuyangan didto nga nagtugot sa arbitraryong code nga ipatuman kung mosulay sa pag-scan sa espesyal nga gidisenyo nga datos. Ang aplikasyon sa Cellebrite nakit-an usab nga naggamit sa usa ka karaan nga librarya sa ffmpeg nga wala gi-update sa 9 ka tuig ug adunay daghang gidaghanon sa mga wala ma-patch nga mga kahuyangan. Imbis nga dawaton ang mga problema ug ayohon ang mga problema, ang Cellebrite nagpagula usa ka pahayag nga nagpakabana kini sa integridad sa datos sa tiggamit, nagmintinar sa seguridad sa mga produkto niini sa husto nga lebel, kanunay nga nagpagawas sa mga update ug naghatud sa labing kaayo nga mga aplikasyon sa kini nga matang.
- Ang pinakadako nga kalampusan. Ang premyo gihatag ngadto kang Ilfak Gilfanov, tagsulat sa IDA disassembler ug sa Hex-Rays decompiler, alang sa iyang kontribusyon sa pagpalambo sa mga himan alang sa mga tigdukiduki sa seguridad ug sa iyang abilidad sa pagpadayon sa usa ka up-to-date nga produkto alang sa 30 ka tuig.
Source: opennet.ru