પ્રોહોસ્ટર > Блог > ઇન્ટરનેટ સમાચાર > Pwn2Own 2020 સ્પર્ધામાં Ubuntu, Windows, macOS અને VirtualBoxના હેક્સનું નિદર્શન કરવામાં આવ્યું હતું.

Pwn2Own 2020 સ્પર્ધામાં Ubuntu, Windows, macOS અને VirtualBoxના હેક્સનું નિદર્શન કરવામાં આવ્યું હતું.

નીચે દો CanSecWest કોન્ફરન્સના ભાગ રૂપે વાર્ષિક ધોરણે યોજાતી Pwn2Own 2020 સ્પર્ધાના બે દિવસના પરિણામો. આ વર્ષે સ્પર્ધા વર્ચ્યુઅલ રીતે યોજાઈ હતી અને હુમલાઓનું ઓનલાઈન પ્રદર્શન કરવામાં આવ્યું હતું. સ્પર્ધાએ ઉબુન્ટુ ડેસ્કટોપ (લિનક્સ કર્નલ), વિન્ડોઝ, મેકઓએસ, સફારી, વર્ચ્યુઅલબોક્સ અને એડોબ રીડરમાં અગાઉની અજાણી નબળાઈઓનું શોષણ કરવા માટેની કાર્યકારી તકનીકો રજૂ કરી હતી. ચૂકવણીની કુલ રકમ 270 હજાર ડોલર હતી (કુલ ઇનામ ભંડોળ હતી 4 મિલિયન યુએસ ડોલરથી વધુ).

  • ઇનપુટ મૂલ્યોની ખોટી ચકાસણી (ઈનામ $30) સાથે સંકળાયેલ Linux કર્નલમાં નબળાઈનું શોષણ કરીને ઉબુન્ટુ ડેસ્કટૉપમાં વિશેષાધિકારોની સ્થાનિક વૃદ્ધિ;
  • વર્ચ્યુઅલબૉક્સમાં ગેસ્ટ એન્વાયર્નમેન્ટમાંથી બહાર નીકળવાનું અને હાઇપરવાઇઝર અધિકારો સાથે કોડ ચલાવવાનું પ્રદર્શન, બે નબળાઈઓનો ઉપયોગ - ફાળવેલ બફરની બહારના વિસ્તારમાંથી ડેટા વાંચવાની ક્ષમતા અને બિન-પ્રારંભિક ચલો (ઈનામ 40 હજાર ડોલર) સાથે કામ કરતી વખતે ભૂલ. સ્પર્ધાની બહાર, ઝીરો ડે ઈનિશિએટિવના પ્રતિનિધિઓએ અન્ય વર્ચ્યુઅલબોક્સ હેકનું પણ નિદર્શન કર્યું, જે મહેમાન વાતાવરણમાં મેનીપ્યુલેશન દ્વારા હોસ્ટ સિસ્ટમને ઍક્સેસ કરવાની મંજૂરી આપે છે;



  • મેકઓએસ કર્નલ સ્તર પર ઉચ્ચ વિશેષાધિકારો સાથે સફારીને હેક કરવું અને કેલ્ક્યુલેટરને રૂટ તરીકે ચલાવવું. શોષણ માટે, 6 ભૂલોની સાંકળનો ઉપયોગ કરવામાં આવ્યો હતો (ઈનામ 70 હજાર ડોલર);
  • વિન્ડોઝમાં નબળાઈઓના શોષણ દ્વારા સ્થાનિક વિશેષાધિકાર વૃદ્ધિના બે પ્રદર્શનો જે પહેલાથી મુક્ત મેમરી વિસ્તાર સુધી પહોંચે છે (દરેક 40 હજાર ડોલરના બે ઈનામો);
  • Adobe Reader માં ખાસ ડિઝાઇન કરેલ PDF દસ્તાવેજ ખોલતી વખતે Windows માં એડમિનિસ્ટ્રેટર એક્સેસ મેળવવી. હુમલામાં એક્રોબેટ અને વિન્ડોઝ કર્નલમાં પહેલેથી જ મુક્ત મેમરી વિસ્તારો ($50નું ઇનામ) ઍક્સેસ કરવા સંબંધિત નબળાઈઓનો સમાવેશ થાય છે.

ક્રોમ, ફાયરફોક્સ, એજ, માઇક્રોસોફ્ટ હાઇપર-વી ક્લાયંટ, માઇક્રોસોફ્ટ ઓફિસ અને માઇક્રોસોફ્ટ વિન્ડોઝ આરડીપી હેક કરવા માટેના નોમિનેશન્સ દાવા વગરના રહ્યા. VMware વર્કસ્ટેશનને હેક કરવાનો પ્રયાસ કરવામાં આવ્યો હતો, પરંતુ તે અસફળ રહ્યો હતો.
ગયા વર્ષની જેમ, ઇનામ શ્રેણીઓમાં મોટાભાગના ઓપન સોર્સ પ્રોજેક્ટ્સ (nginx, OpenSSL, Apache httpd) ના હેક્સનો સમાવેશ થતો નથી.

અલગથી, અમે ટેસ્લા કારની માહિતી પ્રણાલીઓને હેક કરવાના વિષયની નોંધ લઈ શકીએ છીએ. $700 હજારનું મહત્તમ ઇનામ હોવા છતાં, સ્પર્ધામાં ટેસ્લાને હેક કરવાનો કોઈ પ્રયાસ થયો ન હતો, પરંતુ અલગથી информация информация ટેસ્લા મોડલ 2020 માં DoS નબળાઈ (CVE-10558-3) ની ઓળખ વિશે, જે બિલ્ટ-ઇન બ્રાઉઝરમાં ખાસ ડિઝાઇન કરેલ પેજ ખોલતી વખતે, ઓટોપાયલોટ તરફથી સૂચનાઓને અક્ષમ કરવા અને ઘટકોની કામગીરીને વિક્ષેપિત કરવાની મંજૂરી આપે છે. સ્પીડોમીટર, બ્રાઉઝર, એર કન્ડીશનીંગ, નેવિગેશન સિસ્ટમ વગેરે.

સોર્સ: opennet.ru

એક ટિપ્પણી ઉમેરો