Vuosittain osana CanSecWest-konferenssia järjestettävän Pwn2Own 2022 -kilpailun kolmen päivän tulokset on koottu yhteen. Toimivia tekniikoita aiemmin tuntemattomien haavoittuvuuksien hyödyntämiseksi on osoitettu Ubuntu Desktopille, Virtualboxille, Safarille, Windows 11:lle, Microsoft Teamsille ja Firefoxille. Yhteensä 25 onnistunutta hyökkäystä esitettiin, ja kolme yritystä päättyi epäonnistumiseen. Hyökkäyksissä käytettiin uusimpia vakaita julkaisuja sovelluksista, selaimista ja käyttöjärjestelmistä kaikilla saatavilla olevilla päivityksillä ja oletuskokoonpanossa. Maksetun palkkion kokonaismäärä oli 1,155,000 XNUMX XNUMX USD.
Kilpailu osoitti viisi onnistunutta yritystä hyödyntää aiemmin tuntemattomia Ubuntu Desktopin haavoittuvuuksia eri osallistujaryhmien toimesta. Yksi 40 40 dollarin palkinto maksettiin paikallisten etuoikeuksien eskaloinnin osoittamisesta Ubuntu Desktopissa hyödyntämällä kahta puskurin ylivuotoa ja kaksinkertaista ilmaista ongelmaa. Neljä palkintoa, kukin arvoltaan XNUMX XNUMX dollaria, myönnettiin etuoikeuksien lisääntymisen osoittamisesta Use-After-Free-haavoittuvuuksien hyödyntämisen kautta.
Ongelman tarkkoja komponentteja ei ole vielä raportoitu, kilpailun ehtojen mukaisesti yksityiskohtaiset tiedot kaikista osoitetuista 0 päivän haavoittuvuuksista julkaistaan vasta 90 päivän kuluttua, jotka annetaan valmistajille valmistellakseen päivityksiä, jotka poistavat haavoittuvuuksia.
Muita onnistuneita hyökkäyksiä:
- 100 tuhatta dollaria Firefoxin hyväksikäytön kehittämiseen, joka mahdollisti erityisesti suunniteltua sivua avattaessa ohittaa hiekkalaatikon eristyksen ja suorittaa koodia järjestelmässä.
- 40 XNUMX dollaria esitelläkseen hyväksikäyttöä, joka käyttää puskurin ylivuotoa Oracle Virtualboxissa kirjautuakseen ulos vieraasta.
- 50 tuhatta dollaria Apple Safarin käyttämisestä (puskurin ylivuoto).
- 450 tuhatta dollaria Microsoft Teamsin hakkeroinnista (eri tiimit esittelivät kolme hakkerointia, joista jokaisesta maksettiin 150 tuhatta).
- 80 tuhatta dollaria (kaksi 40 tuhannen palkintoa) puskurin ylivuodon hyödyntämisestä ja oikeuksien laajentamisesta Microsoft Windows 11:ssä.
- 80 tuhatta dollaria (kaksi 40 tuhannen palkintoa kumpikin) pääsynvahvistuskoodin virheen hyödyntämisestä Microsoft Windows 11:n oikeuksien lisäämiseksi.
- 40 11 dollaria kokonaislukujen ylivuodon hyödyntämisestä Microsoft Windows XNUMX:n oikeuksien laajentamiseen.
- 40 tuhatta dollaria Microsoft Windows 11:n Use-After-Free-haavoittuvuuden hyödyntämisestä.
- 75 tuhatta dollaria Telsa Model 3:n infotainment-järjestelmää vastaan tehdystä hyökkäyksestä. Hyökkäys käytti bugeja, jotka johtivat puskurin ylivuotoon ja kaksinkertaiseen vapautumiseen, sekä aiemmin tunnettua tekniikkaa hiekkalaatikon eristyksen ohittamiseksi.
Microsoft Windows 11 (6 onnistunutta hakkerointia ja 1 epäonnistunut), Tesla (1 onnistunut hakkerointi ja 1 epäonnistunut) ja Microsoft Teams (3 onnistunutta hakkerointia ja 1 epäonnistunut) yritettiin, mutta ne eivät onnistuneet. Tänä vuonna ei ole pyydetty Google Chromen hyväksikäyttöä.
Lähde: opennet.ru