- 入力値の不正な検証に関連する Linux カーネルの脆弱性を悪用した、Ubuntu Desktop でのローカル権限昇格 (賞金 30 ドル)。
- VirtualBox のゲスト環境を終了し、ハイパーバイザー権限でコードを実行するデモンストレーション。割り当てられたバッファーの外側の領域からデータを読み取る機能と、初期化されていない変数を操作する際のエラーという 40 つの脆弱性を悪用します (賞金 XNUMX 万ドル)。 競技会以外では、Zero Day Initiative の代表者らも、ゲスト環境での操作を通じてホスト システムへのアクセスを可能にする別の VirtualBox ハックを実演しました。
- macOS カーネル レベルに昇格した権限で Safari をハッキングし、root として電卓を実行します。 悪用には、6 つのエラーの連鎖が使用されました (賞金 70 万ドル)。
- すでに解放されているメモリ領域へのアクセスにつながる脆弱性の悪用による、Windows でのローカル特権昇格の 40 つのデモンストレーション (それぞれ XNUMX ドルの XNUMX つの賞品)。
- Adobe Reader で特別に設計された PDF ドキュメントを開くときに、Windows で管理者アクセスを取得します。 この攻撃には、すでに解放されたメモリ領域へのアクセスに関連する Acrobat および Windows カーネルの脆弱性が含まれます (賞金 50 ドル)。
Chrome、Firefox、Edge、Microsoft Hyper-V Client、Microsoft Office、および Microsoft Windows RDP のハッキングに関する候補は未申請のままでした。 VMware Workstation のハッキングが試みられましたが、失敗しました。
昨年と同様、賞のカテゴリーには、大部分のオープンソース プロジェクト (nginx、OpenSSL、Apache httpd) のハッキングは含まれませんでした。
これとは別に、テスラ車の情報システムのハッキングに関するトピックに注目することができます。 最高賞金700万ドルにも関わらず、このコンテストではテスラをハッキングする試みはなかったが、それとは別に
出所: オープンネット.ru