Mae canlyniadau tridiau cystadleuaeth Pwn2Own 2022, a gynhelir yn flynyddol fel rhan o gynhadledd CanSecWest, wedi’u crynhoi. Mae technegau gweithio ar gyfer manteisio ar wendidau anhysbys yn flaenorol wedi'u dangos ar gyfer Ubuntu Desktop, Virtualbox, Safari, Windows 11, Timau Microsoft a Firefox. Dangoswyd cyfanswm o 25 o ymosodiadau llwyddiannus, a daeth tri ymgais i ben mewn methiant. Defnyddiodd yr ymosodiadau y datganiadau sefydlog diweddaraf o gymwysiadau, porwyr a systemau gweithredu gyda'r holl ddiweddariadau a ffurfweddiadau diofyn sydd ar gael. Cyfanswm y gydnabyddiaeth a dalwyd oedd USD 1,155,000.
Dangosodd y gystadleuaeth bum ymgais lwyddiannus i fanteisio ar wendidau anhysbys yn flaenorol yn Ubuntu Desktop, a gyflawnwyd gan dimau gwahanol o gyfranogwyr. Talwyd un wobr o $40 am ddangos cynnydd braint leol yn Ubuntu Desktop trwy fanteisio ar ddau orlif byffer a materion di-dâl dwbl. Dyfarnwyd pedair gwobr, gwerth $40 yr un, am ddangos bod braint yn cynyddu trwy fanteisio ar wendidau Defnyddio-Ar Ôl Rhad ac Am Ddim.
Nid yw union gydrannau'r broblem wedi'u hadrodd eto; yn unol â thelerau'r gystadleuaeth, dim ond ar ôl 0 diwrnod y bydd gwybodaeth fanwl am yr holl wendidau 90-diwrnod a ddangoswyd yn cael eu cyhoeddi, a roddir i'r gwneuthurwyr i baratoi diweddariadau sy'n dileu'r gwendidau.
Ymosodiadau llwyddiannus eraill:
- 100 mil o ddoleri ar gyfer datblygu camfanteisio ar gyfer Firefox, a oedd yn caniatáu, wrth agor tudalen a ddyluniwyd yn arbennig, i osgoi ynysu blwch tywod a gweithredu cod yn y system.
- $40 i ddangos camfanteisio sy'n defnyddio gorlif byffer yn Oracle Virtualbox i allgofnodi o westai.
- $50 mil ar gyfer gweithredu Apple Safari (gorlif byffer).
- 450 mil o ddoleri ar gyfer hacio Microsoft Teams (dangosodd gwahanol dimau dri hac gyda gwobr o 150 mil yr un).
- 80 mil o ddoleri (dau ddyfarniad o 40 mil yr un) am fanteisio ar orlifau byffer a chynyddu breintiau rhywun yn Microsoft Windows 11.
- 80 mil o ddoleri (dwy wobr o 40 mil yr un) am ecsbloetio nam yn y cod dilysu mynediad i gynyddu eich breintiau yn Microsoft Windows 11.
- $40K ar gyfer manteisio ar orlif cyfanrif i gynyddu breintiau yn Microsoft Windows 11.
- $40 mil ar gyfer manteisio ar fregusrwydd Defnydd-Ar Ôl-Rhad ac Am Ddim yn Microsoft Windows 11.
- $75 ar gyfer dangos ymosodiad ar system infotainment Model Telsa 3. Defnyddiodd yr ecsbloetio bygiau gan arwain at orlifiadau byffer a rhyddhau dwbl, ynghyd â thechneg a oedd yn hysbys yn flaenorol ar gyfer osgoi ynysu blychau tywod.
Gwnaed ymdrechion ar wahân, ond yn aflwyddiannus, i hacio Microsoft Windows 11 (6 hac llwyddiannus ac 1 yn aflwyddiannus), Tesla (1 hac llwyddiannus ac 1 yn aflwyddiannus) a Microsoft Teams (3 hac llwyddiannus ac 1 yn aflwyddiannus). Nid oedd unrhyw geisiadau i ddangos campau yn Google Chrome eleni.
Ffynhonnell: opennet.ru