Chaidh buannaichean Duaisean Pwnie bliadhnail 2021 a dhearbhadh, a’ soilleireachadh na so-leòntachd as cudromaiche agus na fàilligidhean absurd ann an raon tèarainteachd coimpiutair. Thathas den bheachd gu bheil Duaisean Pwnie co-ionann ris na h-Oscars agus an Golden Raspberry ann an tèarainteachd coimpiutair.
Prìomh bhuannaichean (liosta de na farpaisich):
- So-leòntachd àrdachadh sochair nas fheàrr. Chaidh a’ bhuaidh a thoirt do Qualys airson a bhith a’ comharrachadh so-leòntachd CVE-2021-3156 anns a’ ghoireas sudo, a leigeas le sochairean freumha fhaighinn. Tha an so-leòntachd air a bhith an làthair anns a’ chòd airson timcheall air 10 bliadhna agus tha e sònraichte leis gu robh feum air sgrùdadh mionaideach air loidsig a’ ghoireas gus a chomharrachadh.
- Bug frithealaiche as fheàrr. Air a bhuileachadh airson a bhith a’ comharrachadh agus a’ gabhail brath air a’ bhiast as iom-fhillte agus as inntinniche ann an seirbheis lìonraidh. Chaidh a’ bhuaidh a thoirt seachad airson a bhith a’ comharrachadh vectar ùr de dh’ ionnsaighean air Microsoft Exchange. Cha deach fiosrachadh mu dheidhinn a h-uile so-leòntachd den chlas seo fhoillseachadh, ach chaidh fiosrachadh fhoillseachadh mu dheidhinn so-leòntachd CVE-2021-26855 (ProxyLogon), a leigeas le dàta a thoirt a-mach à neach-cleachdaidh neo-riaghailteach gun dearbhadh, agus CVE-2021-27065, a tha a’ dèanamh tha e comasach do chòd a chuir an gnìomh air frithealaiche le còraichean rianadair.
- An ionnsaigh criptografach as fheàrr. Air a bhuileachadh airson a bhith a’ comharrachadh na lochdan as cudromaiche ann an siostaman fìor, protocolaidhean, agus algoirmean crioptachaidh. Chaidh an duais a thoirt do Microsoft airson so-leòntachd (CVE-2020-0601) ann a bhith a’ buileachadh ainmean-sgrìobhte didseatach lùb elliptic a dh’ fhaodadh iuchraichean prìobhaideach a ghineadh bho iuchraichean poblach. Leig an duilgheadas le cruthachadh teisteanasan TLS meallta airson HTTPS agus ainmean-sgrìobhte didseatach meallta, a chaidh a dhearbhadh ann an Windows mar earbsach.
- Rannsachadh as ùr-nodha. Chaidh an duais a thoirt do luchd-rannsachaidh a mhol an dòigh BlindSide airson a bhith a’ seachnadh dìon stèidhichte air thuaiream seòlaidhean (ASLR) le bhith a’ cleachdadh aoidion seanail taobh mar thoradh air coileanadh tuairmeasach stiùireadh leis a’ phròiseasar.
- Am fàilligeadh as motha (Most Epic FAIL). Chaidh an duais a thoirt do Microsoft airson an rèiteachadh briste ioma-sgaoilidh airson so-leòntachd PrintNightmare (CVE-2021-34527) ann an siostam clò-bhualaidh Windows a leigeas leat do chòd a chuir an gnìomh. An toiseach, chomharraich Microsoft an duilgheadas mar ionadail, ach an uairsin thionndaidh e a-mach gun gabhadh an ionnsaigh a dhèanamh air astar. An uairsin dh’ fhoillsich Microsoft ùrachaidhean ceithir tursan, ach gach uair a dhùin an suidheachadh dìreach cùis shònraichte, agus lorg an luchd-rannsachaidh dòigh ùr air an ionnsaigh a dhèanamh.
- Bug as fheàrr ann am bathar-bog teachdaiche. B ’e am buannaiche an neach-rannsachaidh a chomharraich so-leòntachd CVE-2020-28341 ann am pròiseasairean crypto tèarainte Samsung a fhuair teisteanas tèarainteachd CC EAL 5+. Bha an so-leòntachd ga dhèanamh comasach faighinn seachad air an dìon gu tur agus faighinn chun chòd a chaidh a chuir gu bàs air a’ chip agus an dàta a tha air a stòradh sa chuartachadh, a dhol seachad air glas an sàbhalaiche sgrion, agus cuideachd atharrachaidhean a dhèanamh air a’ firmware gus cùl-raon falaichte a chruthachadh.
- An so-leòntachd as dì-meas. Chaidh an duais a thoirt do Qualys airson sreath de chugallachd 21Nails a chomharrachadh anns an t-seirbheisiche puist Exim, agus ghabhadh 10 dhiubh sin a chleachdadh air astar. Bha luchd-leasachaidh Exim teagmhach mun chomas brath a ghabhail air na duilgheadasan agus chuir iad seachad còrr air 6 mìosan a’ leasachadh fuasglaidhean.
- An ath-bhualadh as lamer aig an neach-dèanamh (Freagairt an Neach-reic Lamest). Ainmeachadh airson an fhreagairt as neo-iomchaidh do aithisg so-leòntachd anns an toradh agad fhèin. B’ e an neach a bhuannaich Cellebrite, companaidh a bhios a’ togail mion-sgrùdadh forensic agus tagraidhean mèinnearachd dàta airson cur an gnìomh lagha. Fhreagair Cellebrite gu neo-iomchaidh ri aithisg so-leòntachd a chaidh a phostadh le Moxie Marlinspike, ùghdar protocol Signal. Ghabh Moxxi ùidh ann an Cellebrite às deidh artaigil meadhanan mu bhith a’ cruthachadh teicneòlas a leigeas le bhith a’ slaodadh teachdaireachdan Signal crioptaichte, a thionndaidh a-mach gu bhith na bhreug mar thoradh air mì-mhìneachadh air fiosrachadh ann an artaigil air làrach-lìn Cellebrite, a chaidh a thoirt air falbh an uairsin (“ an ionnsaigh” feumach air ruigsinneachd corporra air a’ fòn agus an comas scrion fhuasgladh, ie air a lughdachadh gu bhith a’ coimhead teachdaireachdan san teachdaire, ach chan ann le làimh, ach a’ cleachdadh tagradh sònraichte a tha coltach ri gnìomhan luchd-cleachdaidh).
Rinn Moxxi sgrùdadh air tagraidhean Cellebrite agus lorg e so-leòntachd èiginneach an sin a leig le còd neo-riaghailteach a chuir gu bàs nuair a bha e a’ feuchainn ri dàta a chaidh a dhealbhadh gu sònraichte a sganadh. Chaidh an tagradh Cellebrite a lorg cuideachd a bhith a’ cleachdadh leabharlann ffmpeg seann-fhasanta nach deach ùrachadh airson 9 bliadhna agus anns a bheil àireamh mhòr de chugallachd gun atharrachadh. An àite a bhith ag aithneachadh nan duilgheadasan agus a’ càradh nan duilgheadasan, tha Cellebrite air aithris a chuir a-mach gu bheil e a’ gabhail cùram mu ionracas dàta luchd-cleachdaidh, a ’cumail tèarainteachd a thoraidhean aig an ìre cheart, a’ leigeil a-mach ùrachaidhean cunbhalach agus a ’lìbhrigeadh na tagraidhean as fheàrr de a sheòrsa.
- An coileanadh as motha. Chaidh an duais a thoirt do Ilfak Gilfanov, ùghdar an IDA disassembler agus Hex-Rays decompiler, airson na chuir e ri leasachadh innealan airson luchd-rannsachaidh tèarainteachd agus a chomas air an toradh a chumail suas airson 30 bliadhna.
Source: fosgailtenet.ru