Ua hoʻolaha ʻia ka poʻe lanakila o ka makahiki Pwnie Awards 2021, e hōʻike ana i nā nāwaliwali koʻikoʻi a me nā hemahema ʻole i ka palekana kamepiula. Ua manaʻo ʻia ʻo Pwnie Awards e like me nā Oscars a me Golden Raspberries ma ke kahua o ka palekana kamepiula.
Nā mea lanakila nui (papa inoa o nā mea hoʻokūkū):
- ʻO ka nāwaliwali maikaʻi loa e alakaʻi ana i ka piʻi ʻana o ka pono. Ua hāʻawi ʻia ka lanakila iā Qualys no ka ʻike ʻana i ka vulnerability CVE-2021-3156 i ka pono sudo, e hiki ai iā ʻoe ke loaʻa nā kuleana kumu. Aia ka haʻahaʻa i loko o ke code no kahi o 10 mau makahiki a ʻike ʻia i ka ʻike ʻana he pono ia i ka nānā pono ʻana i ka loiloi o ka pono.
- ʻO ka bug server maikaʻi loa. Hāʻawi ʻia no ka ʻike ʻana a me ka hoʻohana ʻana i ka ʻenehana paʻakikī a hoihoi loa i loko o kahi lawelawe pūnaewele. Hāʻawi ʻia ka lanakila no ka ʻike ʻana i kahi vector hoʻouka hou ma Microsoft Exchange. ʻAʻole i paʻi ʻia ka ʻike e pili ana i nā nāwaliwali āpau o kēia papa, akā ua hōʻike mua ʻia ka ʻike e pili ana i ka vulnerability CVE-2021-26855 (ProxyLogon), e hiki ai iā ʻoe ke unuhi i ka ʻikepili o kahi mea hoʻohana ʻole me ka hōʻoia ʻole, a me CVE-2021-27065. , e hiki ai ke hoʻokō i kāu code ma kahi kikowaena me nā kuleana luna.
- ʻO ka hoʻouka cryptographic maikaʻi loa. Hāʻawi ʻia no ka ʻike ʻana i nā āpau koʻikoʻi i nā ʻōnaehana maoli, nā protocols a me nā algorithms encryption. Hāʻawi ʻia ka makana iā Microsoft no kahi nāwaliwali (CVE-2020-0601) i ka hoʻokō ʻana i nā pūlima kikohoʻe e pili ana i nā pihi elliptic, e hiki ai ke hana i nā kī pilikino e pili ana i nā kī lehulehu. Ua ʻae ʻia ka pilikia no ka hana ʻana i nā palapala hōʻoia TLS hoʻopunipuni no HTTPS a me nā pūlima kikohoʻe fictitious i hōʻoia ʻia e Windows.
- ʻO ka noiʻi hou loa. Hāʻawi ʻia ka makana i ka poʻe noiʻi nāna i noi i ke ʻano BlindSide e kāʻalo i ka pale ʻana i ka address-based randomization (ASLR) me ka hoʻohana ʻana i nā leaka ʻaoʻao ʻaoʻao ma muli o ka hoʻokō ʻana i nā ʻōlelo kuhikuhi.
- ʻO ka hāʻule nui loa (Most Epic FAIL). Hāʻawi ʻia ka makana iā Microsoft no ka hoʻokuʻu pinepine ʻana i kahi hoʻoponopono haʻihaʻi no ka vulnerability PrintNightmare (CVE-2021-34527) ma ka ʻōnaehana paʻi Windows i ʻae i ka hoʻokō code. Ua hōʻailona mua ʻo Microsoft i ka pilikia ma ke ʻano he kūloko, akā ua ʻike ʻia e hiki ke hoʻokō ʻia ka hoʻouka ʻana. A laila hoʻopuka ʻo Microsoft i nā mea hou i ʻehā mau manawa, akā i kēlā me kēia manawa ua pani wale ka hoʻoponopono i kahi hihia kūikawā a loaʻa i nā mea noiʻi kahi ala hou e hoʻokō ai i ka hoʻouka ʻana.
- ʻO ka bug maikaʻi loa i ka polokalamu kelepona. ʻO ka mea lanakila ka mea noiʻi nāna i ʻike i ka vulnerability CVE-2020-28341 i Samsung secure cryptoprocessors, i loaʻa iā ia kahi palapala palekana CC EAL 5+. Ua hiki i ka vulnerability ke kāpae i ka palekana a loaʻa ke komo i ke code e holo ana ma ka chip a me ka ʻikepili i mālama ʻia i loko o ka enclave, e kāpae i ka laka pale pale, a e hoʻololi pū i ka firmware e hana i kahi kua huna.
- ʻO ka haʻahaʻa haʻahaʻa loa. Hāʻawi ʻia ka makana iā Qualys no ka ʻike ʻana i kahi ʻano o 21Nails vulnerabilities i loko o ka kikowaena leka uila Exim, 10 o ia mau mea hiki ke hoʻohana mamao. Ua kānalua nā mea hoʻomohala Exim e hiki ke hoʻohana ʻia nā pilikia a hoʻopau ʻia ma luna o 6 mau mahina e hoʻomohala ai i nā hoʻoponopono.
- Pane Mea Kūʻai Lamest. Koho no ka pane kūpono ʻole i kahi memo e pili ana i kahi nāwaliwali o kāu huahana ponoʻī. ʻO ka mea lanakila, ʻo ia ʻo Cellebrite, kahi hui e hana ana i nā noi no ka nānā ʻana i ka forensic a me ka unuhi ʻikepili e nā keʻena hoʻokō kānāwai. ʻAʻole i pane kūpono ʻo Cellebrite i kahi hōʻike pilikino i hoʻouna ʻia e Moxie Marlinspike, ka mea kākau o ka protocol Signal. Ua lilo ʻo Moxey i mea hoihoi iā Cellebrite ma hope o ka hoʻolaha ʻia ʻana o kahi leka e pili ana i ka hoʻokumu ʻana i kahi ʻenehana e hiki ai i ka hacking encrypted Signal memo, a ma hope i lilo i mea hoʻopunipuni ma muli o ke kuhi hewa ʻana o ka ʻike i loko o kahi ʻatikala ma ka pūnaewele Cellebrite, ʻo ia hoʻi. a laila wehe ʻia ("ka hoʻouka ʻana" pono ke komo kino i ke kelepona a me ka hiki ke wehe i ka pale laka, ʻo ia hoʻi, ua hoʻemi ʻia i ka nānā ʻana i nā leka i ka ʻelele, akā ʻaʻole me ka lima, akā me ka hoʻohana ʻana i kahi noi kūikawā e hoʻohālikelike i nā hana mea hoʻohana).
Ua aʻo ʻo Moxey i nā noi Cellebrite a loaʻa i nā nāwaliwali koʻikoʻi ma laila e hiki ai ke hoʻokō ʻia ke code arbitrary i ka wā e hoʻāʻo ai e nānā i ka ʻikepili i hoʻolālā kūikawā ʻia. Ua ʻike pū ʻia ka noi ʻo Cellebrite e hoʻohana ana i kahi waihona ffmpeg kahiko ʻaʻole i hōʻano hou ʻia no 9 mau makahiki a loaʻa i ka nui o nā mea nāwaliwali ʻole i hoʻopaʻa ʻia. Ma mua o kaʻaeʻana i nā pilikia a me ka hoʻoponoponoʻana i nā pilikia, ua hoʻopukaʻo Cellebrite i kahi'ōlelo e pili ana i ka pono o kaʻikepili hoʻohana, mālama i ka palekana o kāna mau huahana i ka pae kūpono, hoʻokuʻu mau i nā mea hou a hāʻawi i nā noi maikaʻi loa o konaʻano.
- ʻO ka hoʻokō nui loa. Ua hāʻawiʻia ka makana iā Ilfak Gilfanov, ka mea kākau o ka IDA disassembler a me ka Hex-Rays decompiler, no kāna mau kōkua i ka hoʻomohalaʻana i nā mea hana no nā mea noiʻi palekana a me kona hiki ke mālama i kahi huahana hou no nā makahiki 30.
Source: opennet.ru