Chaidh buannaichean Duaisean Pwnie bliadhnail 2021 a dhearbhadh, aâ soilleireachadh na so-leòntachd as cudromaiche agus na fĂ illigidhean absurd ann an raon tèarainteachd coimpiutair. Thathas den bheachd gu bheil Duaisean Pwnie co-ionann ris na h-Oscars agus an Golden Raspberry ann an tèarainteachd coimpiutair.
PrĂŹomh bhuannaichean (liosta de na farpaisich):
- So-leòntachd Ă rdachadh sochair nas fheĂ rr. Chaidh aâ bhuaidh a thoirt do Qualys airson a bhith aâ comharrachadh so-leòntachd CVE-2021-3156 anns aâ ghoireas sudo, a leigeas le sochairean freumha fhaighinn. Tha an so-leòntachd air a bhith an lĂ thair anns aâ chòd airson timcheall air 10 bliadhna agus tha e sònraichte leis gu robh feum air sgrĂšdadh mionaideach air loidsig aâ ghoireas gus a chomharrachadh.
- Am Biast Frithealaiche as FheĂ rr. Air a bhuileachadh airson a bhith aâ comharrachadh agus aâ cleachdadh aâ bhiast as iom-fhillte gu teicnigeach agus as inntinniche ann an seirbheis lĂŹonra. Chaidh an duais a thoirt seachad airson vectar ionnsaigh Ăšr a chomharrachadh air Microsoft Exchange. Cha deach a h-uile so-leòntachd sa chlas seo fhoillseachadh, ach chaidh fiosrachadh fhoillseachadh mu thrĂ th air CVE-2021-26855 (ProxyLogon), a leigeas le dĂ ta cleachdaiche neo-riaghailteach a thoirt a-mach Ă s aonais dearbhadh, agus CVE-2021-27065, a leigeas le còd gnĂ thaichte a bhith air a chur an gnĂŹomh. frithealaiche le còraichean rianadair.
- An Ionnsaigh Chrioptachaidh as FheĂ rr. Air a bhuileachadh airson na lochdan as cudromaiche a chomharrachadh ann an siostaman, protocolaidhean agus algairidhean crioptachaidh san t-saoghal fhĂŹor. Chaidh an duais a thoirt do Microsoft airson so-leòntachd (CVE-2020-0601) anns an cur an gnĂŹomh aige de shoidhnichean didseatach lĂšb eliptigeach a leig le iuchraichean prĂŹobhaideach a bhith air an gineadh bho iuchraichean poblach. Leig aâ chĂšis le teisteanasan TLS meallta a chruthachadh airson HTTPS agus soidhnichean didseatach ficseanail a chaidh a dhearbhadh ann an Windows cho earbsach.
- Rannsachadh as Ăšr-nodha. Chaidh an duais a thoirt do luchd-rannsachaidh a mhol an dòigh BlindSide airson a bhith aâ seachnadh dĂŹon stèidhichte air thuaiream seòlaidhean (ASLR) le bhith aâ cleachdadh aoidion seanail taobh mar thoradh air coileanadh tuairmeasach stiĂšireadh leis aâ phròiseasar.
- Am fĂ illigeadh as miosa. Air a bhuileachadh air Microsoft airson an iomadh cĂ radh neo-ghnĂŹomhach a rinn e air so-leòntachd PrintNightmare (CVE-2021-34527) anns an t-siostam toraidh clò-bhualaidh. Windows, aâ leigeil le còd a bhith air a chur an gnĂŹomh. An toiseach, chomharraich Microsoft an duilgheadas mar rud ionadail, ach dhâfhĂ s e soilleir nas fhaide air adhart gum bâ urrainnear an ionnsaigh a dhèanamh air astar. An uairsin leig Microsoft a-mach ceithir Ăšrachaidhean, ach gach uair cha do dhèilig an cĂ radh ach ri cĂšis shònraichte, agus lorg luchd-rannsachaidh dòigh Ăšr air an ionnsaigh a dhèanamh.
- Bug as fheĂ rr ann am bathar-bog teachdaiche. B âe am buannaiche an neach-rannsachaidh a chomharraich so-leòntachd CVE-2020-28341 ann am pròiseasairean crypto tèarainte Samsung a fhuair teisteanas tèarainteachd CC EAL 5+. Bha an so-leòntachd ga dhèanamh comasach faighinn seachad air an dĂŹon gu tur agus faighinn chun chòd a chaidh a chuir gu bĂ s air aâ chip agus an dĂ ta a tha air a stòradh sa chuartachadh, a dhol seachad air glas an sĂ bhalaiche sgrion, agus cuideachd atharrachaidhean a dhèanamh air aâ firmware gus cĂšl-raon falaichte a chruthachadh.
- Duais na So-leòntachd as Motha a chaidh a DhĂŹ-mheas: Chaidh Qualys a bhuileachadh airson sreath so-leòntachd 21Nails a lorg ann am post-d. frithealaiche Exim, agus faodar 10 dhiubh sin a chleachdadh air astar. Bha luchd-leasachaidh Exim teagmhach mu chothrom an cleachdadh agus chuir iad còrr is sia mĂŹosan seachad aâ leasachadh rèiteachaidhean.
- An ath-bhualadh as lamer aig an neach-dèanamh (Freagairt an Neach-reic Lamest). Ainmeachadh airson an fhreagairt as neo-iomchaidh do aithisg so-leòntachd anns an toradh agad fhèin. Bâ e an neach a bhuannaich Cellebrite, companaidh a bhios aâ togail mion-sgrĂšdadh forensic agus tagraidhean mèinnearachd dĂ ta airson cur an gnĂŹomh lagha. Fhreagair Cellebrite gu neo-iomchaidh ri aithisg so-leòntachd a chaidh a phostadh le Moxie Marlinspike, Ăšghdar protocol Signal. Ghabh Moxxi Ăšidh ann an Cellebrite Ă s deidh artaigil meadhanan mu bhith aâ cruthachadh teicneòlas a leigeas le bhith aâ slaodadh teachdaireachdan Signal crioptaichte, a thionndaidh a-mach gu bhith na bhreug mar thoradh air mĂŹ-mhĂŹneachadh air fiosrachadh ann an artaigil air lĂ rach-lĂŹn Cellebrite, a chaidh a thoirt air falbh an uairsin (â an ionnsaighâ feumach air ruigsinneachd corporra air aâ fòn agus an comas scrion fhuasgladh, ie air a lughdachadh gu bhith aâ coimhead teachdaireachdan san teachdaire, ach chan ann le lĂ imh, ach aâ cleachdadh tagradh sònraichte a tha coltach ri gnĂŹomhan luchd-cleachdaidh).
Rinn Moxxi sgrĂšdadh air tagraidhean Cellebrite agus lorg e so-leòntachd èiginneach an sin a leig le còd neo-riaghailteach a chuir gu bĂ s nuair a bha e aâ feuchainn ri dĂ ta a chaidh a dhealbhadh gu sònraichte a sganadh. Chaidh an tagradh Cellebrite a lorg cuideachd a bhith aâ cleachdadh leabharlann ffmpeg seann-fhasanta nach deach Ăšrachadh airson 9 bliadhna agus anns a bheil Ă ireamh mhòr de chugallachd gun atharrachadh. An Ă ite a bhith ag aithneachadh nan duilgheadasan agus aâ cĂ radh nan duilgheadasan, tha Cellebrite air aithris a chuir a-mach gu bheil e aâ gabhail cĂšram mu ionracas dĂ ta luchd-cleachdaidh, a âcumail tèarainteachd a thoraidhean aig an ĂŹre cheart, aâ leigeil a-mach Ăšrachaidhean cunbhalach agus a âlĂŹbhrigeadh na tagraidhean as fheĂ rr de a sheòrsa.
- An coileanadh as motha. Chaidh an duais a thoirt do Ilfak Gilfanov, Úghdar an IDA disassembler agus Hex-Rays decompiler, airson na chuir e ri leasachadh innealan airson luchd-rannsachaidh tèarainteachd agus a chomas air an toradh a chumail suas airson 30 bliadhna.
Source: fosgailtenet.ru
