ProHoster > Блог > interretaj novaĵoj > Hakoj de Ubuntu, Vindozo, macOS kaj VirtualBox estis pruvitaj ĉe la konkurso Pwn2Own 2020

Hakoj de Ubuntu, Vindozo, macOS kaj VirtualBox estis pruvitaj ĉe la konkurso Pwn2Own 2020

Lasu malsupren rezultoj de du tagoj de konkursoj Pwn2Own 2020, okazigitaj ĉiujare kiel parto de la konferenco CanSecWest. Ĉi-jare la konkurso estis okazigita virtuale kaj la atakoj estis pruvitaj rete. La konkurso prezentis laborteknikojn por ekspluati antaŭe nekonatajn vundeblecojn en Ubuntu Desktop (Linuksa kerno), Vindozo, macOS, Safaro, VirtualBox kaj Adobe Reader. La totala kvanto de pagoj estis 270 mil dolaroj (totala premiofonduso estis pli ol 4 milionoj da usonaj dolaroj).

  • Loka eskalado de privilegioj en Ubuntu Desktop per ekspluatado de vundebleco en la Linukso-kerno asociita kun malĝusta kontrolado de enigvaloroj (premio $30);
  • Pruvo pri eliro de la gastmedio en VirtualBox kaj ekzekuto de kodo kun hiperviziero-rajtoj, ekspluatado de du vundeblecoj - la kapablo legi datumojn de areo ekster la asignita bufro kaj eraro kiam oni laboras kun nekomencigitaj variabloj (premio de 40 mil dolaroj). Ekster la konkurado, reprezentantoj de la Iniciato de Zero Day ankaŭ pruvis alian hakon de VirtualBox, kiu permesas aliron al la gastiga sistemo per manipuladoj en la gastmedio;



  • Haki Safaron kun altigitaj privilegioj al la macOS-kerna nivelo kaj funkciigante la kalkulilon kiel radiko. Por ekspluatado oni uzis ĉenon de 6 eraroj (premio 70 mil dolaroj);
  • Du pruvoj de loka privilegia eskalado en Vindozo per ekspluatado de vundeblecoj, kiuj kondukas al aliro al jam liberigita memorareo (du premioj po 40 mil dolaroj);
  • Akiri administrantan aliron en Vindozo dum malfermado de speciale desegnita PDF-dokumento en Adobe Reader. La atako implikas vundeblecojn en Acrobat kaj la Vindoza kerno rilate al aliro al jam liberigitaj memorareoj (premio de $50).

Nomumoj por hakado de Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office kaj Microsoft Windows RDP restis nepostulitaj. Oni provis haki VMware Workstation, sed ĝi estis malsukcesa.
Kiel pasintjare, la premiokategorioj ne inkludis hakojn de la plimulto de malfermkodaj projektoj (nginx, OpenSSL, Apache httpd).

Aparte, ni povas noti la temon pri hakado de la informsistemoj de Tesla aŭto. Ne estis provoj pirati Tesla ĉe la konkurso, malgraŭ la maksimuma premio de $ 700 mil, sed aparte informoj aperis pri la identigo de DoS vundebleco (CVE-2020-10558) en la Tesla Modelo 3, kiu permesas, kiam oni malfermas speciale desegnitan paĝon en la enkonstruita retumilo, malŝalti sciigojn de la aŭtomata piloto kaj interrompi la funkciadon de komponantoj kiel ekzemple la rapidometro, retumilo, klimatizilo, navigacia sistemo, ktp.

fonto: opennet.ru

Aldoni komenton