Fógraíodh buaiteoirí na nGradam Pwnie bliantúil 2021, ag cur béime ar na leochaileachtaí is suntasaí agus ar na teipeanna áiféiseacha i slándáil ríomhairí. Meastar go bhfuil Gradaim Pwnie comhionann leis na Oscars agus na Sútha craobh Órga i réimse na slándála ríomhaireachta.
Príomhbhuaiteoirí (liosta na n-iomaitheoirí):
- An leochaileacht is fearr as a dtagann ardú pribhléide. Bronnadh an bua ar Qualys as an leochaileacht CVE-2021-3156 a aithint sa fóntais sudo, rud a ligeann duit pribhléidí fréimhe a fháil. Bhí an leochaileacht i láthair sa chód ar feadh thart ar 10 mbliana agus is díol suntais é sa mhéid is gur theastaigh anailís chríochnúil ar loighic an áirgiúlachta chun é a shainaithint.
- An bug freastalaí is fearr. Bronnta ar an fabht is casta agus is suimiúla i seirbhís líonra a aithint agus a shaothrú. Bronnadh an bua as veicteoir ionsaí nua a aithint ar Microsoft Exchange. Foilsíodh faisnéis faoi nach bhfuil gach leochaileacht den aicme seo, ach nochtadh faisnéis cheana féin faoin leochaileacht CVE-2021-26855 (ProxyLogon), a ligeann duit sonraí úsáideora treallach a bhaint as gan fíordheimhniú, agus CVE-2021-27065 , rud a fhágann gur féidir do chód a fhorghníomhú ar fhreastalaí le cearta riarthóra.
- An ionsaí cripteagrafach is fearr. Bronnta ar na bearnaí is suntasaí i bhfíorchórais, prótacail agus halgartaim criptithe a aithint. Bronnadh an dámhachtain ar Microsoft le haghaidh leochaileachta (CVE-2020-0601) i gcur i bhfeidhm sínithe digiteacha bunaithe ar chuair éilipseacha, a cheadaíonn eochracha príobháideacha a ghiniúint bunaithe ar eochracha poiblí. Cheadaigh an tsaincheist deimhnithe TLS falsa a chruthú do HTTPS agus sínithe digiteacha bréige a bhí fíoraithe ag Windows mar iontaofa.
- An taighde is nuálaí riamh. Bronnadh an duais ar thaighdeoirí a mhol an modh BlindSide chun cosaint randamaithe bunaithe ar sheoltaí (ASLR) a sheachbhóthar ag baint úsáide as sceitheanna taobhchainéil mar thoradh ar fhorghníomhú treoracha amhantrach ag próiseálaí.
- An teip is mó (Most Epic FAIL). Bronnadh an dámhachtain ar Microsoft as réiteach briste a scaoileadh arís agus arís eile don leochaileacht PrintNightmare (CVE-2021-34527) i gcóras priontála Windows a cheadaigh cód a fhorghníomhú. Chuir Microsoft in iúl go raibh an fhadhb áitiúil ar dtús, ach ansin d'éirigh sé amach go bhféadfaí an t-ionsaí a dhéanamh go cianda. Ansin d'fhoilsigh Microsoft nuashonruithe ceithre huaire, ach níor dhún an socrú ach cás speisialta gach uair agus fuair na taighdeoirí bealach nua chun an t-ionsaí a dhéanamh.
- An fabht is fearr i mbogearraí cliant. Ba é an buaiteoir an taighdeoir a d'aithin leochaileacht CVE-2020-28341 i gcripphróiseálaithe slán Samsung, a fuair deimhniú slándála CC EAL 5+. Mar gheall ar an leochaileacht bhíothas in ann slándáil a sheachbhóthar go hiomlán agus rochtain a fháil ar an gcód a bhí ag rith ar an tslis agus ar na sonraí a bhí stóráilte san enclave, an glas spárálaíscáileáin a sheachbhóthar, agus freisin athruithe a dhéanamh ar an bhfirmware chun cúldoor i bhfolach a chruthú.
- An leochaileacht is lú a mheas. Bronnadh an dámhachtain ar Qualys as sraith leochaileachtaí 21Nails a aithint i bhfreastalaí poist Exim, ar féidir 10 gcinn díobh a shaothrú go cianda. Bhí na forbróirí Exim amhrasach go bhféadfaí leas a bhaint as na fadhbanna agus chaith siad breis is 6 mhí ag forbairt réitigh.
- Freagra an Díoltóra Lamest. Ainmniú don fhreagra is neamhleor ar theachtaireacht faoi leochaileacht i do tháirge féin. Ba é Cellebrite an buaiteoir, cuideachta a chruthaíonn iarratais ar anailís fhóiréinseach agus eastóscadh sonraí ag gníomhaireachtaí forfheidhmithe dlí. Níor fhreagair Cellebrite go leordhóthanach do thuarascáil leochaileachta a chuir Moxie Marlinspike, údar an phrótacail Comharthaíochta. Chuir Moxey suim i Cellebrite tar éis foilsiú nóta sna meáin faoi chruthú teicneolaíochta a cheadaíonn teachtaireachtaí Comhartha criptithe a hack, rud a d’éirigh ina bhréag níos déanaí mar gheall ar mhíthuiscint faisnéise in alt ar shuíomh Gréasáin Cellebrite, a bhí ansin é a bhaint (“an t-ionsaí” rochtain fhisiciúil ar an bhfón agus an cumas an scáileán glas a bhaint, ie laghdaíodh é go dtí féachaint ar theachtaireachtaí sa teachtaire, ach ní de láimh, ach ag baint úsáide as feidhmchlár speisialta a shamhlaíonn gníomhartha úsáideoirí).
Rinne Moxey staidéar ar fheidhmchláir Cellebrite agus fuair sé leochaileachtaí criticiúla ann a cheadaigh cód treallach a fhorghníomhú agus é ag iarraidh sonraí saindeartha a scanadh. Fuarthas amach freisin go raibh feidhmchlár Cellebrite ag baint úsáide as leabharlann ffmpeg as dáta nár nuashonraíodh le 9 mbliana agus a raibh líon mór leochaileachtaí ann gan phasáil. In ionad na fadhbanna a admháil agus na fadhbanna a shocrú, d'eisigh Cellebrite ráiteas go bhfuil cúram air faoi shláine sonraí úsáideoirí, go gcoimeádann sé slándáil a chuid táirgí ar an leibhéal cuí, go scaoileann sé nuashonruithe go rialta agus go seachadann sé na feidhmchláir is fearr dá leithéid.
- An éacht is mó. Bronnadh an duais ar Ilfak Gilfanov, údar an dí-chomhshóiteálaí IDA agus an decompiler Hex-Rays, as an méid a chuir sé le forbairt uirlisí do thaighdeoirí slándála agus as a chumas táirge cothrom le dáta a choinneáil ar feadh 30 bliain.
Foinse: oscailtenet.ru