La rezultoj de tri tagoj de la konkurso Pwn2Own 2022, okazigita ĉiujare kiel parto de la konferenco CanSecWest, estis resumitaj. Laborteknikoj por ekspluati antaŭe nekonatajn vundeblecojn estis pruvitaj por Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams kaj Firefox. Totalo de 25 sukcesaj atakoj estis montrita, kaj tri provoj finiĝis en fiasko. La atakoj uzis la plej novajn stabilajn eldonojn de aplikoj, retumiloj kaj operaciumoj kun ĉiuj disponeblaj ĝisdatigoj kaj defaŭltaj agordoj. La totalsumo de pago pagita estis USD 1,155,000.
La konkurado montris kvin sukcesajn provojn ekspluati antaŭe nekonatajn vundeblecojn en Ubuntu Desktop, entreprenitaj fare de malsamaj teamoj de partoprenantoj. Unu $40-premio estis pagita por pruvi lokan privilegian eskaladon en Ubuntu Desktop per ekspluatado de du bufrosuperfluo kaj duoble senpagaj aferoj. Kvar premioj, ĉiu kun valoro de 40 USD, estis aljuĝitaj pro pruvado de privilegio-eskalado per ekspluatado de Uzo-Post-Libera vundeblecoj.
La precizaj komponantoj de la problemo ankoraŭ ne estis raportitaj; laŭ la kondiĉoj de la konkurso, detalaj informoj pri ĉiuj pruvitaj 0-tagaj vundeblecoj estos publikigitaj nur post 90 tagoj, kiuj estas donitaj al la fabrikantoj por prepari ĝisdatigojn, kiuj forigas la. vundeblecoj.
Aliaj sukcesaj atakoj:
- 100 mil dolaroj por la disvolviĝo de ekspluato por Fajrovulpo, kiu permesis, malferminte speciale desegnitan paĝon, preterpasi sablokeston izoladon kaj ekzekuti kodon en la sistemo.
- $40 por pruvi ekspluatadon, kiu uzas bufran superfluon en Oracle Virtualbox por elsaluti de gasto.
- 50 mil USD por funkciigado de Apple Safari (bufro superfluo).
- 450 mil dolaroj por hakado de Microsoft Teamoj (malsamaj teamoj pruvis tri hakojn kun rekompenco de 150 mil por ĉiu).
- 80 mil dolaroj (du premioj po 40 mil) por ekspluatado de bufraj superfluoj kaj pliigo de siaj privilegioj en Microsoft Windows 11.
- 80 mil dolaroj (du premioj po 40 mil) pro ekspluatado de cimo en la alirkontrolkodo por pliigi siajn privilegiojn en Microsoft Windows 11.
- $40K por ekspluatado de entjera superfluo por pligrandigi privilegiojn en Microsoft Windows 11.
- 40 mil USD por ekspluatado de vundebleco Uzo-Post-Libera en Microsoft Windows 11.
- $ 75 mil por pruvi atakon al la infotainment-sistemo de Telsa Modelo 3. La ekspluato uzis cimojn kondukantajn al bufro-superfluoj kaj duoblaj liberiĝoj, kune kun antaŭe konata tekniko por preterpasi sablokestan izolitecon.
Apartaj provoj estis faritaj, sed estis malsukcesaj, por haki Microsoft Windows 11 (6 sukcesaj hakoj kaj 1 malsukcesa), Tesla (1 sukcesa hako kaj 1 malsukcesa) kaj Microsoft Teams (3 sukcesaj hakoj kaj 1 malsukcesa). Ne estis petoj por pruvi ekspluatojn en Google Chrome ĉi-jare.
fonto: opennet.ru