- Escalada local de privilexios en Ubuntu Desktop mediante a explotación dunha vulnerabilidade no núcleo de Linux asociada á verificación incorrecta dos valores de entrada (premio de 30 dólares);
- Demostración de saír do ambiente invitado en VirtualBox e executar código con dereitos de hipervisor, explotando dúas vulnerabilidades: a capacidade de ler datos dunha área fóra do búfer asignado e un erro ao traballar con variables non inicializadas (un premio de 40 mil dólares). Fóra da competición, os representantes da Iniciativa Día Cero tamén demostraron outro hack de VirtualBox, que permite o acceso ao sistema anfitrión mediante manipulacións na contorna convidada;
- Hackeando Safari con privilexios elevados ao nivel do núcleo de macOS e executando a calculadora como root. Para a explotación utilizouse unha cadea de 6 erros (premio 70 mil dólares);
- Dúas demostracións de escalada de privilexios locais en Windows mediante a explotación de vulnerabilidades que conducen ao acceso a unha zona de memoria xa liberada (dous premios de 40 mil dólares cada un);
- Conseguir acceso de administrador en Windows ao abrir un documento PDF especialmente deseñado en Adobe Reader. O ataque implica vulnerabilidades en Acrobat e no núcleo de Windows relacionadas co acceso a áreas de memoria xa liberadas (premio de 50 dólares).
As nominacións para piratear Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office e Microsoft Windows RDP permaneceron sen reclamar. Intentouse piratear VMware Workstation, pero non tivo éxito.
Como o ano pasado, as categorías do premio non incluíron hackeos da maioría dos proxectos de código aberto (nginx, OpenSSL, Apache httpd).
Por separado, podemos sinalar o tema de piratear os sistemas de información dun coche Tesla. Non houbo intentos de piratear Tesla na competición, a pesar do premio máximo de 700 mil dólares, pero por separado
Fonte: opennet.ru