ProHoster > Блог > warta internet > Hacks saka Ubuntu, Windows, macOS lan VirtualBox dituduhake ing kompetisi Pwn2Own 2020

Hacks saka Ubuntu, Windows, macOS lan VirtualBox dituduhake ing kompetisi Pwn2Own 2020

Mudhun asil saka rong dina kompetisi Pwn2Own 2020, dianakaké saben taun minangka bagéan saka konferensi CanSecWest. Ing taun iki kompetisi dianakaké sakbenere lan serangan padha dituduhake online. Kompetisi kasebut nampilake teknik kerja kanggo ngeksploitasi kerentanan sing durung dingerteni ing Desktop Ubuntu (kernel Linux), Windows, macOS, Safari, VirtualBox lan Adobe Reader. Jumlah total pembayaran yaiku 270 ewu dolar (total dana hadiah ana luwih saka 4 yuta dolar AS).

  • Peningkatan hak istimewa lokal ing Desktop Ubuntu kanthi ngeksploitasi kerentanan ing kernel Linux sing ana gandhengane karo verifikasi nilai input sing salah (hadiah $30);
  • Demonstrasi metu saka lingkungan tamu ing VirtualBox lan nglakokake kode kanthi hak hypervisor, ngeksploitasi loro kerentanan - kemampuan kanggo maca data saka wilayah ing njaba buffer sing diparengake lan kesalahan nalika nggarap variabel sing ora dikawruhi (hadiah 40 ewu dolar). Ing njaba kompetisi, wakil saka Zero Day Initiative uga nuduhake hack VirtualBox liyane, sing ngidini akses menyang sistem host liwat manipulasi ing lingkungan tamu;



  • Hacking Safari kanthi hak istimewa kanggo tingkat kernel macOS lan mbukak kalkulator minangka root. Kanggo eksploitasi, rantai 6 kesalahan digunakake (hadiah 70 ewu dolar);
  • Loro demonstrasi eskalasi hak istimewa lokal ing Windows liwat eksploitasi kerentanan sing nyebabake akses menyang area memori sing wis dibebasake (loro hadiah saben 40 ewu dolar);
  • Entuk akses administrator ing Windows nalika mbukak dokumen PDF sing dirancang khusus ing Adobe Reader. Serangan kasebut kalebu kerentanan ing Acrobat lan kernel Windows sing ana gandhengane karo ngakses area memori sing wis dibebasake (hadiah $ 50).

Nominasi kanggo peretasan Chrome, Firefox, Edge, Klien Microsoft Hyper-V, Microsoft Office lan Microsoft Windows RDP tetep ora diklaim. Ana upaya kanggo hack VMware Workstation, nanging ora kasil.
Kaya taun kepungkur, kategori hadiah ora kalebu peretasan mayoritas proyek sumber terbuka (nginx, OpenSSL, Apache httpd).

Kapisah, kita bisa nyathet topik hacking sistem informasi mobil Tesla. Ora ana upaya kanggo hack Tesla ing kompetisi, sanajan hadiah maksimal $ 700 ewu, nanging kanthi kapisah informasi muncul babagan identifikasi kerentanan DoS (CVE-2020-10558) ing Tesla Model 3, sing ngidini, nalika mbukak kaca sing dirancang khusus ing browser sing dibangun, mateni kabar saka autopilot lan ngganggu operasi komponen kayata spedometer, browser, AC, sistem navigasi, lsp.

Source: opennet.ru

Add a comment