ProHoster > وبلاگ > اخبار اینترنتی > هک‌های نمایش داده شده در Pwn2Own 2020 Ubuntu, Windows, macOS و ویرچوال باکس

هک‌های نمایش داده شده در Pwn2Own 2020 Ubuntu, Windows, macOS و ویرچوال باکس

ول کن نتایج مسابقه دو روزه Pwn2Own 2020 که سالانه به عنوان بخشی از کنفرانس CanSecWest برگزار می‌شود. امسال، این مسابقه به صورت مجازی برگزار شد و حملات به صورت آنلاین نمایش داده شدند. این مسابقه تکنیک‌های کاربردی برای بهره‌برداری از آسیب‌پذیری‌های ناشناخته قبلی را به نمایش گذاشت. Ubuntu دسکتاپ (هسته) Linux), Windows, macOS، سافاری، ویرچوال باکس و ادوبی ریدر. کل جایزه ۲۷۰،۰۰۰ دلار بود. بود بیش از 4 میلیون دلار آمریکا).

  • افزایش امتیاز محلی در Ubuntu بهره‌برداری از آسیب‌پذیری دسکتاپ از طریق هسته Linuxمربوط به اعتبارسنجی نادرست مقادیر ورودی (جایزه: ۳۰،۰۰۰ دلار)؛
  • نمایش خروج از محیط مهمان در VirtualBox و اجرای کد با حقوق هایپروایزر، بهره برداری از دو آسیب پذیری - قابلیت خواندن داده ها از ناحیه ای خارج از بافر اختصاص داده شده و خطا در هنگام کار با متغیرهای اولیه (جایزه 40 هزار دلاری). در خارج از رقابت، نمایندگان Zero Day Initiative همچنین هک VirtualBox دیگری را نشان دادند که امکان دسترسی به سیستم میزبان را از طریق دستکاری در محیط مهمان فراهم می کند.


    پخش فیلم

  • هک افزایش امتیاز هسته سافاری macOS و اجرای ماشین حساب با دسترسی روت. زنجیره‌ای از شش اشکال برای بهره‌برداری استفاده شد (جایزه: ۷۰،۰۰۰ دلار)؛
  • دو نمونه از افزایش امتیاز محلی در Windows از طریق سوءاستفاده از آسیب‌پذیری‌هایی که منجر به دسترسی به یک ناحیه حافظه از قبل آزاد شده می‌شوند (دو جایزه ۴۰،۰۰۰ دلاری)؛
  • دسترسی مدیر را در اختیار بگیرید Windows هنگام باز کردن یک سند PDF دستکاری‌شده‌ی خاص در Adobe Reader. این حمله از آسیب‌پذیری‌های موجود در Acrobat و هسته‌ی آن سوءاستفاده می‌کرد. Windowsمربوط به دسترسی به مناطق حافظه از قبل آزاد شده (جایزه: 50 هزار دلار).

نامزدهای هک کروم، فایرفاکس، اج، مایکروسافت هایپر-وی کلاینت، مایکروسافت آفیس و مایکروسافت همچنان بدون مدعی باقی ماندند. Windows RDP. تلاشی برای هک کردن VMware Workstation انجام شد، اما ناموفق بود.
مانند سال گذشته، دسته های جایزه شامل هک اکثر پروژه های منبع باز (nginx، OpenSSL، Apache httpd) نمی شد.

به طور جداگانه می توان به موضوع هک کردن سیستم های اطلاعاتی یک خودروی تسلا اشاره کرد. با وجود حداکثر جایزه 700 هزار دلاری، هیچ تلاشی برای هک تسلا در این مسابقه صورت نگرفت، اما به طور جداگانه появилась اطلاعاتی در مورد شناسایی یک آسیب‌پذیری DoS (CVE-2020-10558) در تسلا مدل 3، که به هنگام باز کردن یک صفحه طراحی شده خاص در مرورگر داخلی، امکان غیرفعال کردن اعلان‌ها از خلبان خودکار و اختلال در عملکرد اجزایی مانند سرعت سنج، مرورگر، تهویه مطبوع، سیستم ناوبری و غیره

پخش فیلم

منبع: opennet.ru

خرید هاست قابل اعتماد برای سایت های دارای حفاظت DDoS، سرورهای VPS VDS 🔥 خرید هاستینگ معتبر با محافظت در برابر حملات DDoS، سرورهای VPS و VDS | ProHoster