- Ubuntu töölaua õiguste kohalik suurendamine, kasutades ära sisendväärtuste ebaõige kontrollimisega seotud Linuxi tuuma haavatavust (auhind 30 XNUMX dollarit);
- VirtualBoxis külaliskeskkonnast väljumise ja hüperviisori õigustega koodi käivitamise demonstreerimine, kasutades kahte turvaauku – võime lugeda andmeid eraldatud puhvrist väljaspool olevast piirkonnast ja viga initsialiseerimata muutujatega töötamisel (auhind 40 tuhat dollarit). Väljaspool võistlust demonstreerisid Zero Day Initiative'i esindajad ka teist VirtualBox häkki, mis võimaldab juurdepääsu hostsüsteemile läbi manipulatsioonide külaliskeskkonnas;
- Safari häkkimine kõrgendatud õigustega macOS-i kerneli tasemele ja kalkulaatori käivitamine administraatorina. Ekspluateerimiseks kasutati 6 veast koosnevat ahelat (auhind 70 tuhat dollarit);
- Kaks Windowsi kohalike privileegide eskaleerumise demonstratsiooni turvaaukude ärakasutamise kaudu, mis viivad juurdepääsu juba vabastatud mälualale (kaks auhinda, kumbki 40 tuhat dollarit);
- Windowsis administraatori juurdepääsu saamine spetsiaalselt loodud PDF-dokumendi avamisel Adobe Readeris. Rünnak hõlmab haavatavusi Acrobatis ja Windowsi tuumas, mis on seotud juurdepääsuga juba vabastatud mälupiirkondadele (auhind 50 XNUMX dollarit).
Chrome'i, Firefoxi, Edge'i, Microsoft Hyper-V Clienti, Microsoft Office'i ja Microsoft Windowsi RDP häkkimise kandidaadid jäid esitamata. VMware Workstationi üritati häkkida, kuid see ei õnnestunud.
Sarnaselt eelmisele aastale ei kuulunud auhinnakategooriate hulka enamiku avatud lähtekoodiga projektide (nginx, OpenSSL, Apache httpd) häkkimine.
Eraldi võib märkida Tesla auto infosüsteemide häkkimise teemat. Võistlusel ei üritatud Teslat häkkida, vaatamata maksimaalsele 700 tuhande dollarilisele auhinnale, vaid eraldi
Allikas: opennet.ru