- Az Ubuntu Desktop jogosultságainak helyi kiterjesztése a Linux kernel egy sebezhetőségének kihasználásával, amely a bemeneti értékek helytelen ellenőrzéséhez kapcsolódik (díj 30 XNUMX USD);
- A VirtualBox vendégkörnyezetéből való kilépés és a kód végrehajtása hypervisor jogokkal, két sebezhetőség kihasználása – a lefoglalt pufferen kívüli területről való adatok olvasási képessége és az inicializálatlan változókkal végzett munka során fellépő hiba (a nyeremény 40 ezer dollár) bemutatása. A versenyen kívül a Zero Day Initiative képviselői egy másik VirtualBox-hacket is bemutattak, amely a vendégkörnyezet manipulációival teszi lehetővé a fogadó rendszer elérését;
- A Safari feltörése emelt jogosultságokkal a macOS kernel szintjére, és a számológép rootként való futtatása. A kiaknázáshoz 6 hibából álló láncot használtak (díj 70 ezer dollár);
- Két demonstráció a helyi jogosultságok eszkalációjáról a Windows rendszerben a sérülékenységek kihasználásával, amelyek egy már felszabadult memóriaterülethez vezetnek (két nyeremény, egyenként 40 ezer dollár);
- Rendszergazdai hozzáférés megszerzése Windows rendszerben, amikor megnyit egy speciálisan kialakított PDF-dokumentumot az Adobe Readerben. A támadás az Acrobat és a Windows kernel sebezhetőségét tartalmazza, amelyek a már felszabadult memóriaterületek elérésével kapcsolatosak (50 XNUMX dollár nyeremény).
A Chrome, a Firefox, az Edge, a Microsoft Hyper-V Client, a Microsoft Office és a Microsoft Windows RDP feltörésére vonatkozó jelölések továbbra sem érkeztek meg. Megpróbálták feltörni a VMware Workstationt, de ez nem járt sikerrel.
A tavalyi évhez hasonlóan a díjkategóriák között nem szerepelt a legtöbb nyílt forráskódú projekt (nginx, OpenSSL, Apache httpd) feltörése.
Külön megjegyezhetjük a Tesla autó információs rendszereinek feltörésének témáját. A versenyen a 700 ezer dolláros maximális nyeremény ellenére nem próbálták meg feltörni a Teslát, de külön-külön
Forrás: opennet.ru