ProHoster > وبلاگ > اخبار اینترنتی > هک های اوبونتو، ویندوز، macOS و VirtualBox در مسابقه Pwn2Own 2020 نشان داده شد.

هک های اوبونتو، ویندوز، macOS و VirtualBox در مسابقه Pwn2Own 2020 نشان داده شد.

ول کن نتایج دو روز مسابقات Pwn2Own 2020 که هر ساله به عنوان بخشی از کنفرانس CanSecWest برگزار می شود. امسال مسابقه به صورت مجازی برگزار شد و حملات به صورت آنلاین نمایش داده شد. این مسابقه تکنیک‌های کاری را برای بهره‌برداری از آسیب‌پذیری‌های ناشناخته در اوبونتو دسکتاپ (هسته لینوکس)، ویندوز، macOS، سافاری، VirtualBox و Adobe Reader ارائه کرد. مبلغ کل پرداختی ها 270 هزار دلار (کل صندوق جایزه) بود بود بیش از 4 میلیون دلار آمریکا).

  • افزایش محلی امتیازات در دسک‌تاپ اوبونتو با بهره‌برداری از یک آسیب‌پذیری در هسته لینوکس مرتبط با تأیید نادرست مقادیر ورودی (جایزه 30 دلار).
  • نمایش خروج از محیط مهمان در VirtualBox و اجرای کد با حقوق هایپروایزر، بهره برداری از دو آسیب پذیری - قابلیت خواندن داده ها از ناحیه ای خارج از بافر اختصاص داده شده و خطا در هنگام کار با متغیرهای اولیه (جایزه 40 هزار دلاری). در خارج از رقابت، نمایندگان Zero Day Initiative همچنین هک VirtualBox دیگری را نشان دادند که امکان دسترسی به سیستم میزبان را از طریق دستکاری در محیط مهمان فراهم می کند.



  • هک سافاری با امتیازات بالا به سطح هسته macOS و اجرای ماشین حساب به عنوان روت. برای بهره برداری، از زنجیره ای از 6 خطا استفاده شد (جایزه 70 هزار دلار).
  • دو نمایش از افزایش امتیازات محلی در ویندوز از طریق بهره برداری از آسیب پذیری هایی که منجر به دسترسی به یک منطقه حافظه آزاد شده از قبل می شود (دو جایزه 40 هزار دلاری هر کدام).
  • به دست آوردن دسترسی سرپرست در ویندوز هنگام باز کردن یک سند PDF طراحی شده ویژه در Adobe Reader. این حمله شامل آسیب‌پذیری‌هایی در Acrobat و هسته ویندوز مربوط به دسترسی به مناطق حافظه آزاد شده (جایزه 50 دلار) است.

نامزدهای هک کروم، فایرفاکس، اج، مایکروسافت Hyper-V Client، مایکروسافت آفیس و Microsoft Windows RDP بی ادعا باقی ماندند. تلاشی برای هک VMware Workstation انجام شد، اما ناموفق بود.
مانند سال گذشته، دسته های جایزه شامل هک اکثر پروژه های منبع باز (nginx، OpenSSL، Apache httpd) نمی شد.

به طور جداگانه می توان به موضوع هک کردن سیستم های اطلاعاتی یک خودروی تسلا اشاره کرد. با وجود حداکثر جایزه 700 هزار دلاری، هیچ تلاشی برای هک تسلا در این مسابقه صورت نگرفت، اما به طور جداگانه появилась اطلاعاتی در مورد شناسایی یک آسیب‌پذیری DoS (CVE-2020-10558) در تسلا مدل 3، که به هنگام باز کردن یک صفحه طراحی شده خاص در مرورگر داخلی، امکان غیرفعال کردن اعلان‌ها از خلبان خودکار و اختلال در عملکرد اجزایی مانند سرعت سنج، مرورگر، تهویه مطبوع، سیستم ناوبری و غیره

منبع: opennet.ru

اضافه کردن نظر