ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > Pwn2Own 2020 ಸ್ಪರ್ಧೆಯಲ್ಲಿ Ubuntu, Windows, macOS ಮತ್ತು VirtualBox ನ ಹ್ಯಾಕ್‌ಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಯಿತು.

Pwn2Own 2020 ಸ್ಪರ್ಧೆಯಲ್ಲಿ Ubuntu, Windows, macOS ಮತ್ತು VirtualBox ನ ಹ್ಯಾಕ್‌ಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಯಿತು.

ಕೆಳಗೆ ಬಿಡಿ CanSecWest ಸಮ್ಮೇಳನದ ಭಾಗವಾಗಿ ವಾರ್ಷಿಕವಾಗಿ ನಡೆಯುವ Pwn2Own 2020 ರ ಎರಡು ದಿನಗಳ ಸ್ಪರ್ಧೆಗಳ ಫಲಿತಾಂಶಗಳು. ಈ ವರ್ಷ ಸ್ಪರ್ಧೆಯನ್ನು ವಾಸ್ತವಿಕವಾಗಿ ನಡೆಸಲಾಯಿತು ಮತ್ತು ದಾಳಿಗಳನ್ನು ಆನ್‌ಲೈನ್‌ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಯಿತು. ಸ್ಪರ್ಧೆಯು ಉಬುಂಟು ಡೆಸ್ಕ್‌ಟಾಪ್ (ಲಿನಕ್ಸ್ ಕರ್ನಲ್), ವಿಂಡೋಸ್, ಮ್ಯಾಕೋಸ್, ಸಫಾರಿ, ವರ್ಚುವಲ್‌ಬಾಕ್ಸ್ ಮತ್ತು ಅಡೋಬ್ ರೀಡರ್‌ನಲ್ಲಿ ಹಿಂದೆ ತಿಳಿದಿಲ್ಲದ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಕೆಲಸದ ತಂತ್ರಗಳನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಿತು. ಪಾವತಿಗಳ ಒಟ್ಟು ಮೊತ್ತ 270 ಸಾವಿರ ಡಾಲರ್ (ಒಟ್ಟು ಬಹುಮಾನ ನಿಧಿ ಆಗಿತ್ತು 4 ಮಿಲಿಯನ್ US ಡಾಲರ್‌ಗಿಂತ ಹೆಚ್ಚು).

  • ಇನ್‌ಪುಟ್ ಮೌಲ್ಯಗಳ ತಪ್ಪಾದ ಪರಿಶೀಲನೆಗೆ ಸಂಬಂಧಿಸಿದ Linux ಕರ್ನಲ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ ಉಬುಂಟು ಡೆಸ್ಕ್‌ಟಾಪ್‌ನಲ್ಲಿ ಸವಲತ್ತುಗಳ ಸ್ಥಳೀಯ ಹೆಚ್ಚಳ (ಬಹುಮಾನ $30);
  • ವರ್ಚುವಲ್‌ಬಾಕ್ಸ್‌ನಲ್ಲಿ ಅತಿಥಿ ಪರಿಸರದಿಂದ ನಿರ್ಗಮಿಸುವ ಪ್ರದರ್ಶನ ಮತ್ತು ಹೈಪರ್‌ವೈಸರ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು, ಎರಡು ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದು - ನಿಗದಿಪಡಿಸಿದ ಬಫರ್‌ನ ಹೊರಗಿನ ಪ್ರದೇಶದಿಂದ ಡೇಟಾವನ್ನು ಓದುವ ಸಾಮರ್ಥ್ಯ ಮತ್ತು ಪ್ರಾರಂಭಿಸದ ವೇರಿಯಬಲ್‌ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ದೋಷ (40 ಸಾವಿರ ಡಾಲರ್‌ಗಳ ಬಹುಮಾನ). ಸ್ಪರ್ಧೆಯ ಹೊರಗೆ, ಝೀರೋ ಡೇ ಇನಿಶಿಯೇಟಿವ್‌ನ ಪ್ರತಿನಿಧಿಗಳು ಮತ್ತೊಂದು ವರ್ಚುವಲ್‌ಬಾಕ್ಸ್ ಹ್ಯಾಕ್ ಅನ್ನು ಸಹ ಪ್ರದರ್ಶಿಸಿದರು, ಇದು ಅತಿಥಿ ಪರಿಸರದಲ್ಲಿ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್‌ಗಳ ಮೂಲಕ ಹೋಸ್ಟ್ ಸಿಸ್ಟಮ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ;



  • MacOS ಕರ್ನಲ್ ಮಟ್ಟಕ್ಕೆ ಉನ್ನತ ಸವಲತ್ತುಗಳೊಂದಿಗೆ Safari ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವುದು ಮತ್ತು ಕ್ಯಾಲ್ಕುಲೇಟರ್ ಅನ್ನು ರೂಟ್ ಆಗಿ ರನ್ ಮಾಡುವುದು. ಶೋಷಣೆಗಾಗಿ, 6 ದೋಷಗಳ ಸರಪಳಿಯನ್ನು ಬಳಸಲಾಯಿತು (ಬಹುಮಾನ 70 ಸಾವಿರ ಡಾಲರ್);
  • ಈಗಾಗಲೇ ಮುಕ್ತವಾಗಿರುವ ಮೆಮೊರಿ ಪ್ರದೇಶಕ್ಕೆ ಪ್ರವೇಶಕ್ಕೆ ಕಾರಣವಾಗುವ ದುರ್ಬಲತೆಗಳ ಶೋಷಣೆಯ ಮೂಲಕ ವಿಂಡೋಸ್‌ನಲ್ಲಿ ಸ್ಥಳೀಯ ಸವಲತ್ತು ಹೆಚ್ಚಳದ ಎರಡು ಪ್ರದರ್ಶನಗಳು (ತಲಾ 40 ಸಾವಿರ ಡಾಲರ್‌ಗಳ ಎರಡು ಬಹುಮಾನಗಳು);
  • ಅಡೋಬ್ ರೀಡರ್‌ನಲ್ಲಿ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಪಿಡಿಎಫ್ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತೆರೆಯುವಾಗ ವಿಂಡೋಸ್‌ನಲ್ಲಿ ನಿರ್ವಾಹಕರ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವುದು. ದಾಳಿಯು ಅಕ್ರೋಬ್ಯಾಟ್ ಮತ್ತು ವಿಂಡೋಸ್ ಕರ್ನಲ್‌ನಲ್ಲಿ ಈಗಾಗಲೇ ಮುಕ್ತವಾಗಿರುವ ಮೆಮೊರಿ ಪ್ರದೇಶಗಳಿಗೆ ($50 ಬಹುಮಾನ) ಪ್ರವೇಶಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ದುರ್ಬಲತೆಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.

ಕ್ರೋಮ್, ಫೈರ್‌ಫಾಕ್ಸ್, ಎಡ್ಜ್, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಹೈಪರ್-ವಿ ಕ್ಲೈಂಟ್, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಫೀಸ್ ಮತ್ತು ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ ಆರ್‌ಡಿಪಿ ಹ್ಯಾಕಿಂಗ್‌ಗಾಗಿ ನಾಮನಿರ್ದೇಶನಗಳು ಹಕ್ಕು ಪಡೆಯದೆ ಉಳಿದಿವೆ. VMware ಕಾರ್ಯಸ್ಥಳವನ್ನು ಹ್ಯಾಕ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಲಾಯಿತು, ಆದರೆ ಅದು ಯಶಸ್ವಿಯಾಗಲಿಲ್ಲ.
ಕಳೆದ ವರ್ಷದಂತೆ, ಬಹುಮಾನದ ವಿಭಾಗಗಳು ಬಹುತೇಕ ಮುಕ್ತ ಮೂಲ ಯೋಜನೆಗಳ (nginx, OpenSSL, Apache httpd) ಹ್ಯಾಕ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿಲ್ಲ.

ಪ್ರತ್ಯೇಕವಾಗಿ, ಟೆಸ್ಲಾ ಕಾರಿನ ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವ ವಿಷಯವನ್ನು ನಾವು ಗಮನಿಸಬಹುದು. ಗರಿಷ್ಠ $700 ಸಾವಿರ ಬಹುಮಾನದ ಹೊರತಾಗಿಯೂ ಸ್ಪರ್ಧೆಯಲ್ಲಿ ಟೆಸ್ಲಾರನ್ನು ಹ್ಯಾಕ್ ಮಾಡಲು ಯಾವುದೇ ಪ್ರಯತ್ನಗಳು ಇರಲಿಲ್ಲ, ಆದರೆ ಪ್ರತ್ಯೇಕವಾಗಿ ಮಾಹಿತಿ ಕಾಣಿಸಿಕೊಂಡಿತು ಟೆಸ್ಲಾ ಮಾಡೆಲ್ 2020 ರಲ್ಲಿನ DoS ದುರ್ಬಲತೆಯ (CVE-10558-3) ಗುರುತಿಸುವಿಕೆಯ ಬಗ್ಗೆ, ಇದು ಅಂತರ್ನಿರ್ಮಿತ ಬ್ರೌಸರ್‌ನಲ್ಲಿ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಪುಟವನ್ನು ತೆರೆಯುವಾಗ, ಸ್ವಯಂ ಪೈಲಟ್‌ನಿಂದ ಅಧಿಸೂಚನೆಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಮತ್ತು ಘಟಕಗಳ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಅಡ್ಡಿಪಡಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಸ್ಪೀಡೋಮೀಟರ್, ಬ್ರೌಸರ್, ಹವಾನಿಯಂತ್ರಣ, ನ್ಯಾವಿಗೇಷನ್ ಸಿಸ್ಟಮ್, ಇತ್ಯಾದಿ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ