- Τοπική κλιμάκωση των προνομίων στο Ubuntu Desktop με την εκμετάλλευση μιας ευπάθειας στον πυρήνα του Linux που σχετίζεται με εσφαλμένη επαλήθευση των τιμών εισόδου (βραβείο $30).
- Επίδειξη εξόδου από το περιβάλλον επισκέπτη στο VirtualBox και εκτέλεση κώδικα με δικαιώματα hypervisor, εκμετάλλευση δύο τρωτών σημείων - τη δυνατότητα ανάγνωσης δεδομένων από μια περιοχή εκτός του εκχωρημένου buffer και ένα σφάλμα κατά την εργασία με μη αρχικοποιημένες μεταβλητές (βραβείο 40 χιλιάδες δολάρια). Εκτός του διαγωνισμού, εκπρόσωποι της Πρωτοβουλίας Zero Day επέδειξαν επίσης ένα άλλο hack του VirtualBox, το οποίο επιτρέπει την πρόσβαση στο κεντρικό σύστημα μέσω χειρισμών στο περιβάλλον επισκέπτη.
- Hacking Safari με αυξημένα προνόμια στο επίπεδο του πυρήνα macOS και εκτέλεση της αριθμομηχανής ως root. Για την εκμετάλλευση, χρησιμοποιήθηκε μια αλυσίδα 6 σφαλμάτων (βραβείο 70 χιλιάδες δολάρια).
- Δύο επιδείξεις κλιμάκωσης τοπικών προνομίων στα Windows μέσω της εκμετάλλευσης τρωτών σημείων που οδηγούν σε πρόσβαση σε μια ήδη ελευθερωμένη περιοχή μνήμης (δύο βραβεία των 40 χιλιάδων δολαρίων το καθένα).
- Απόκτηση πρόσβασης διαχειριστή στα Windows κατά το άνοιγμα ενός ειδικά σχεδιασμένου εγγράφου PDF στο Adobe Reader. Η επίθεση περιλαμβάνει ευπάθειες στο Acrobat και στον πυρήνα των Windows που σχετίζονται με την πρόσβαση σε ήδη ελευθερωμένες περιοχές μνήμης (βραβείο $50).
Οι υποψηφιότητες για χακάρισμα των Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office και Microsoft Windows RDP παρέμειναν αζήτητες. Έγινε προσπάθεια χακάρισμα του VMware Workstation, αλλά δεν ήταν επιτυχής.
Όπως και πέρυσι, οι κατηγορίες βραβείων δεν περιελάμβαναν hacks της πλειοψηφίας των έργων ανοιχτού κώδικα (nginx, OpenSSL, Apache httpd).
Ξεχωριστά, μπορούμε να σημειώσουμε το θέμα της παραβίασης των συστημάτων πληροφοριών ενός αυτοκινήτου Tesla. Δεν υπήρξαν προσπάθειες χακάρισμα της Tesla στον διαγωνισμό, παρά το μέγιστο έπαθλο των 700 χιλιάδων δολαρίων, αλλά ξεχωριστά
Πηγή: opennet.ru