ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > Pwnie ಪ್ರಶಸ್ತಿಗಳು 2019: ಅತ್ಯಂತ ಮಹತ್ವದ ಭದ್ರತಾ ದೋಷಗಳು ಮತ್ತು ವೈಫಲ್ಯಗಳು

Pwnie ಪ್ರಶಸ್ತಿಗಳು 2019: ಅತ್ಯಂತ ಮಹತ್ವದ ಭದ್ರತಾ ದೋಷಗಳು ಮತ್ತು ವೈಫಲ್ಯಗಳು

ಲಾಸ್ ವೇಗಾಸ್‌ನಲ್ಲಿ ನಡೆದ ಬ್ಲ್ಯಾಕ್ ಹ್ಯಾಟ್ USA ಸಮ್ಮೇಳನದಲ್ಲಿ ನಡೆಯಿತು ಪ್ರಶಸ್ತಿ ಸಮಾರಂಭ ಪವ್ನಿ ಪ್ರಶಸ್ತಿಗಳು 2019, ಇದು ಕಂಪ್ಯೂಟರ್ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ಅಸಂಬದ್ಧ ವೈಫಲ್ಯಗಳನ್ನು ಎತ್ತಿ ತೋರಿಸುತ್ತದೆ. Pwnie ಪ್ರಶಸ್ತಿಗಳನ್ನು ಕಂಪ್ಯೂಟರ್ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಆಸ್ಕರ್ ಮತ್ತು ಗೋಲ್ಡನ್ ರಾಸ್ಪ್ಬೆರಿಗಳಿಗೆ ಸಮಾನವೆಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ ಮತ್ತು 2007 ರಿಂದ ವಾರ್ಷಿಕವಾಗಿ ನಡೆಸಲಾಗುತ್ತದೆ.

ಮುಖ್ಯ ವಿಜೇತರು и ನಾಮನಿರ್ದೇಶನಗಳು:

  • ಅತ್ಯುತ್ತಮ ಸರ್ವರ್ ದೋಷ. ನೆಟ್‌ವರ್ಕ್ ಸೇವೆಯಲ್ಲಿ ಅತ್ಯಂತ ತಾಂತ್ರಿಕವಾಗಿ ಸಂಕೀರ್ಣ ಮತ್ತು ಆಸಕ್ತಿದಾಯಕ ದೋಷವನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಬಳಸಿಕೊಳ್ಳುವುದಕ್ಕಾಗಿ ಪ್ರಶಸ್ತಿ ನೀಡಲಾಗಿದೆ. ವಿಜೇತರು ಸಂಶೋಧಕರು ಬಹಿರಂಗವಾಯಿತು VPN ಪೂರೈಕೆದಾರ ಪಲ್ಸ್ ಸೆಕ್ಯೂರ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆ, ಇದರ VPN ಸೇವೆಯನ್ನು Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US ನೇವಿ, US ಡಿಪಾರ್ಟ್‌ಮೆಂಟ್ ಆಫ್ ಹೋಮ್‌ಲ್ಯಾಂಡ್ ಸೆಕ್ಯುರಿಟಿ (DHS) ಮತ್ತು ಬಹುಶಃ ಅರ್ಧದಷ್ಟು ಬಳಸುತ್ತದೆ ಫಾರ್ಚೂನ್ 500 ಪಟ್ಟಿಯಿಂದ ಕಂಪನಿಗಳು. ಸಂಶೋಧಕರು ಹಿಂಬಾಗಿಲನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ ಅದು ಯಾವುದೇ ಬಳಕೆದಾರರ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ದೃಢೀಕರಿಸದ ಆಕ್ರಮಣಕಾರರಿಗೆ ಬದಲಾಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. HTTPS ಪೋರ್ಟ್ ಮಾತ್ರ ತೆರೆದಿರುವ VPN ಸರ್ವರ್‌ಗೆ ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಸಮಸ್ಯೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಸಾಧ್ಯತೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗಿದೆ;

    ಬಹುಮಾನವನ್ನು ಪಡೆಯದ ಅಭ್ಯರ್ಥಿಗಳಲ್ಲಿ, ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಗಮನಿಸಬಹುದು:

    • ಪೂರ್ವ ದೃಢೀಕರಣ ಹಂತದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲಾಗಿದೆ ದುರ್ಬಲತೆ ಜೆಂಕಿನ್ಸ್ ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ, ಇದು ಸರ್ವರ್‌ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಸರ್ವರ್‌ಗಳಲ್ಲಿ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಗಣಿಗಾರಿಕೆಯನ್ನು ಸಂಘಟಿಸಲು ದುರ್ಬಲತೆಯನ್ನು ಬಾಟ್‌ಗಳು ಸಕ್ರಿಯವಾಗಿ ಬಳಸುತ್ತಾರೆ;
    • ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆ ಎಕ್ಸಿಮ್ ಮೇಲ್ ಸರ್ವರ್‌ನಲ್ಲಿ, ಇದು ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸರ್ವರ್‌ನಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
    • ದುರ್ಬಲತೆಗಳು Xiongmai XMeye P2P IP ಕ್ಯಾಮೆರಾಗಳಲ್ಲಿ, ಸಾಧನದ ನಿಯಂತ್ರಣವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಕ್ಯಾಮರಾಗಳು ಎಂಜಿನಿಯರಿಂಗ್ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಸರಬರಾಜು ಮಾಡಲ್ಪಟ್ಟಿವೆ ಮತ್ತು ಫರ್ಮ್ವೇರ್ ಅನ್ನು ನವೀಕರಿಸುವಾಗ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಪರಿಶೀಲನೆಯನ್ನು ಬಳಸಲಿಲ್ಲ;
    • ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆ ವಿಂಡೋಸ್‌ನಲ್ಲಿ ಆರ್‌ಡಿಪಿ ಪ್ರೋಟೋಕಾಲ್‌ನ ಅನುಷ್ಠಾನದಲ್ಲಿ, ಇದು ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ದೂರದಿಂದಲೇ ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
    • ದುರ್ಬಲತೆ ವರ್ಡ್ಪ್ರೆಸ್ನಲ್ಲಿ, ಚಿತ್ರದ ನೆಪದಲ್ಲಿ PHP ಕೋಡ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುವುದರೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದೆ. ಸಮಸ್ಯೆಯು ಸರ್ವರ್‌ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಸೈಟ್‌ನಲ್ಲಿ ಪ್ರಕಟಣೆಗಳ ಲೇಖಕರ (ಲೇಖಕ) ಸವಲತ್ತುಗಳನ್ನು ಹೊಂದಿದೆ;
  • ಅತ್ಯುತ್ತಮ ಕ್ಲೈಂಟ್ ಸಾಫ್ಟ್‌ವೇರ್ ಬಗ್. ವಿಜೇತರು ಬಳಸಲು ಸುಲಭವಾಗಿದೆ ದುರ್ಬಲತೆ Apple FaceTime ಗುಂಪು ಕರೆ ಮಾಡುವ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ, ಗುಂಪು ಕರೆಯ ಪ್ರಾರಂಭಿಕನು ಕರೆಯನ್ನು ಕರೆಯನ್ನು ಸ್ವೀಕರಿಸುವಂತೆ ಒತ್ತಾಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಆಲಿಸಲು ಮತ್ತು ಸ್ನೂಪಿಂಗ್ ಮಾಡಲು).

    ಬಹುಮಾನಕ್ಕೆ ನಾಮನಿರ್ದೇಶನಗೊಂಡವು:

    • ದುರ್ಬಲತೆ WhatsApp ನಲ್ಲಿ, ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಧ್ವನಿ ಕರೆಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
    • ದುರ್ಬಲತೆ ಕ್ರೋಮ್ ಬ್ರೌಸರ್‌ನಲ್ಲಿ ಬಳಸಲಾಗುವ ಸ್ಕಿಯಾ ಗ್ರಾಫಿಕ್ಸ್ ಲೈಬ್ರರಿಯಲ್ಲಿ, ಕೆಲವು ಜ್ಯಾಮಿತೀಯ ರೂಪಾಂತರಗಳಲ್ಲಿನ ಫ್ಲೋಟಿಂಗ್ ಪಾಯಿಂಟ್ ದೋಷಗಳಿಂದಾಗಿ ಮೆಮೊರಿ ಭ್ರಷ್ಟಾಚಾರಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು;
  • ಸವಲತ್ತು ದುರ್ಬಲತೆಯ ಅತ್ಯುತ್ತಮ ಎಲಿವೇಶನ್. ಗುರುತಿಸಿದ್ದಕ್ಕಾಗಿ ವಿಜಯವನ್ನು ನೀಡಲಾಯಿತು ದುರ್ಬಲತೆಗಳು iOS ಕರ್ನಲ್‌ನಲ್ಲಿ, ipc_voucher ಮೂಲಕ ಬಳಸಿಕೊಳ್ಳಬಹುದು, Safari ಬ್ರೌಸರ್ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದು.

    ಬಹುಮಾನಕ್ಕೆ ನಾಮನಿರ್ದೇಶನಗೊಂಡವು:

    • ದುರ್ಬಲತೆ Windows ನಲ್ಲಿ, CreateWindowEx (win32k.sys) ಕಾರ್ಯದೊಂದಿಗೆ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್‌ಗಳ ಮೂಲಕ ಸಿಸ್ಟಮ್‌ನ ಮೇಲೆ ಸಂಪೂರ್ಣ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಮಾಲ್‌ವೇರ್‌ನ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಅದು ಸರಿಪಡಿಸುವ ಮೊದಲು ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತದೆ;
    • ದುರ್ಬಲತೆ ರನ್‌ಕ್ ಮತ್ತು ಎಲ್‌ಎಕ್ಸ್‌ಸಿಯಲ್ಲಿ, ಡಾಕರ್ ಮತ್ತು ಇತರ ಕಂಟೈನರ್ ಐಸೋಲೇಶನ್ ಸಿಸ್ಟಮ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ, ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಪ್ರತ್ಯೇಕವಾದ ಕಂಟೇನರ್‌ಗೆ ರನ್‌ಕ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಮತ್ತು ಹೋಸ್ಟ್ ಸಿಸ್ಟಮ್ ಬದಿಯಲ್ಲಿ ರೂಟ್ ಸವಲತ್ತುಗಳನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ;
    • ದುರ್ಬಲತೆ ಐಒಎಸ್ (CFPrefsDaemon) ನಲ್ಲಿ, ಇದು ಪ್ರತ್ಯೇಕ ವಿಧಾನಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
    • ದುರ್ಬಲತೆ Android ನಲ್ಲಿ ಬಳಸಲಾದ Linux TCP ಸ್ಟಾಕ್‌ನ ಆವೃತ್ತಿಯಲ್ಲಿ, ಸ್ಥಳೀಯ ಬಳಕೆದಾರರಿಗೆ ಸಾಧನದಲ್ಲಿ ತಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ;
    • ದುರ್ಬಲತೆಗಳು systemd-journald ನಲ್ಲಿ, ಇದು ನಿಮಗೆ ಮೂಲ ಹಕ್ಕುಗಳನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ;
    • ದುರ್ಬಲತೆ / tmp ಅನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸಲು tmpreaper ಉಪಯುಕ್ತತೆಯಲ್ಲಿ, ಇದು ಫೈಲ್ ಸಿಸ್ಟಮ್ನ ಯಾವುದೇ ಭಾಗದಲ್ಲಿ ನಿಮ್ಮ ಫೈಲ್ ಅನ್ನು ಉಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
  • ಅತ್ಯುತ್ತಮ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ದಾಳಿ. ನೈಜ ಸಿಸ್ಟಮ್‌ಗಳು, ಪ್ರೋಟೋಕಾಲ್‌ಗಳು ಮತ್ತು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳಲ್ಲಿ ಅತ್ಯಂತ ಮಹತ್ವದ ಅಂತರವನ್ನು ಗುರುತಿಸಿದ್ದಕ್ಕಾಗಿ ಪ್ರಶಸ್ತಿ ನೀಡಲಾಗಿದೆ. ಗುರುತಿಸಿ ಬಹುಮಾನ ನೀಡಲಾಯಿತು ದುರ್ಬಲತೆಗಳು WPA3 ವೈರ್‌ಲೆಸ್ ನೆಟ್‌ವರ್ಕ್ ಭದ್ರತಾ ತಂತ್ರಜ್ಞಾನ ಮತ್ತು EAP-pwd ನಲ್ಲಿ, ಇದು ಸಂಪರ್ಕ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಮರುಸೃಷ್ಟಿಸಲು ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್ ತಿಳಿಯದೆ ವೈರ್‌ಲೆಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

    ಪ್ರಶಸ್ತಿಗೆ ಇತರ ಅಭ್ಯರ್ಥಿಗಳು:

    • ವಿಧಾನ ಇಮೇಲ್ ಕ್ಲೈಂಟ್‌ಗಳಲ್ಲಿ PGP ಮತ್ತು S/MIME ಗೂಢಲಿಪೀಕರಣದ ಮೇಲಿನ ದಾಳಿಗಳು;
    • ಅಪ್ಲಿಕೇಶನ್ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಬಿಟ್‌ಲಾಕರ್ ವಿಭಾಗಗಳ ವಿಷಯಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಕೋಲ್ಡ್ ಬೂಟ್ ವಿಧಾನ;
    • ದುರ್ಬಲತೆ OpenSSL ನಲ್ಲಿ, ತಪ್ಪಾದ ಪ್ಯಾಡಿಂಗ್ ಮತ್ತು ತಪ್ಪಾದ MAC ಸ್ವೀಕರಿಸುವ ಸಂದರ್ಭಗಳನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು ಇದು ನಿಮ್ಮನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಪ್ಯಾಡಿಂಗ್ ಒರಾಕಲ್‌ನಲ್ಲಿ ಶೂನ್ಯ ಬೈಟ್‌ಗಳ ತಪ್ಪಾದ ನಿರ್ವಹಣೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ;
    • ತೊಂದರೆಗಳು SAML ಬಳಸಿಕೊಂಡು ಜರ್ಮನಿಯಲ್ಲಿ ಬಳಸಲಾಗುವ ID ಕಾರ್ಡ್‌ಗಳೊಂದಿಗೆ;
    • ಸಮಸ್ಯೆಯನ್ನು ChromeOS ನಲ್ಲಿ U2F ಟೋಕನ್‌ಗಳಿಗೆ ಬೆಂಬಲದ ಅನುಷ್ಠಾನದಲ್ಲಿ ಯಾದೃಚ್ಛಿಕ ಸಂಖ್ಯೆಗಳ ಎಂಟ್ರೊಪಿಯೊಂದಿಗೆ;
    • ದುರ್ಬಲತೆ ಮೊನೊಸೈಫರ್‌ನಲ್ಲಿ, ಶೂನ್ಯ EdDSA ಸಹಿಗಳನ್ನು ಸರಿಯಾಗಿ ಗುರುತಿಸಲಾಗಿದೆ.
  • ಇದುವರೆಗಿನ ಅತ್ಯಂತ ನವೀನ ಸಂಶೋಧನೆ. ತಂತ್ರಜ್ಞಾನವನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದವರಿಗೆ ಬಹುಮಾನವನ್ನು ನೀಡಲಾಯಿತು ವೆಕ್ಟರೈಸ್ಡ್ ಎಮ್ಯುಲೇಶನ್, ಇದು ಪ್ರೋಗ್ರಾಂ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಕರಿಸಲು AVX-512 ವೆಕ್ಟರ್ ಸೂಚನೆಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಇದು ಅಸ್ಪಷ್ಟ ಪರೀಕ್ಷೆಯ ವೇಗದಲ್ಲಿ ಗಮನಾರ್ಹ ಹೆಚ್ಚಳಕ್ಕೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ (ಪ್ರತಿ ಸೆಕೆಂಡಿಗೆ 40-120 ಶತಕೋಟಿ ಸೂಚನೆಗಳವರೆಗೆ). ತಂತ್ರವು ಪ್ರತಿ CPU ಕೋರ್ ಅನ್ನು ಅಪ್ಲಿಕೇಶನ್‌ನ ಅಸ್ಪಷ್ಟ ಪರೀಕ್ಷೆಯ ಸೂಚನೆಗಳೊಂದಿಗೆ ಸಮಾನಾಂತರವಾಗಿ 8 64-ಬಿಟ್ ಅಥವಾ 16 32-ಬಿಟ್ ವರ್ಚುವಲ್ ಯಂತ್ರಗಳನ್ನು ಚಲಾಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

    ಕೆಳಗಿನವರು ಪ್ರಶಸ್ತಿಗೆ ಅರ್ಹರಾಗಿದ್ದರು:

    • ದುರ್ಬಲತೆ MS Excel ನಿಂದ ಪವರ್ ಕ್ವೆರಿ ತಂತ್ರಜ್ಞಾನದಲ್ಲಿ, ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಸ್ಪ್ರೆಡ್‌ಶೀಟ್‌ಗಳನ್ನು ತೆರೆಯುವಾಗ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಮತ್ತು ಬೈಪಾಸ್ ಅಪ್ಲಿಕೇಶನ್ ಐಸೋಲೇಶನ್ ವಿಧಾನಗಳನ್ನು ಸಂಘಟಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
    • ವಿಧಾನ ಮುಂಬರುವ ಲೇನ್‌ಗೆ ಚಾಲನೆಯನ್ನು ಪ್ರಚೋದಿಸಲು ಟೆಸ್ಲಾ ಕಾರುಗಳ ಆಟೋಪೈಲಟ್ ಅನ್ನು ಮೋಸಗೊಳಿಸುವುದು;
    • ಕೆಲಸ ASICS ಚಿಪ್ ಸೀಮೆನ್ಸ್ S7-1200 ನ ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್;
    • ಸೋನಾರ್ ಸ್ನೂಪ್ - ಸೋನಾರ್ ಕಾರ್ಯಾಚರಣೆಯ ತತ್ವದ ಆಧಾರದ ಮೇಲೆ ಫೋನ್ ಅನ್ಲಾಕ್ ಕೋಡ್ ಅನ್ನು ನಿರ್ಧರಿಸಲು ಬೆರಳು ಚಲನೆಯ ಟ್ರ್ಯಾಕಿಂಗ್ ತಂತ್ರ - ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನ ಮೇಲಿನ ಮತ್ತು ಕೆಳಗಿನ ಸ್ಪೀಕರ್‌ಗಳು ಕೇಳಿಸಲಾಗದ ಕಂಪನಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತವೆ ಮತ್ತು ಅಂತರ್ನಿರ್ಮಿತ ಮೈಕ್ರೊಫೋನ್‌ಗಳು ಪ್ರತಿಬಿಂಬಿಸುವ ಕಂಪನಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಅವುಗಳನ್ನು ಆರಿಸಿಕೊಳ್ಳುತ್ತವೆ. ಕೈ;
    • ಅಭಿವೃದ್ಧಿ NSA ದ Ghidra ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್ ಟೂಲ್ಕಿಟ್;
    • ಸುರಕ್ಷಿತ - ಬೈನರಿ ಅಸೆಂಬ್ಲಿಗಳ ವಿಶ್ಲೇಷಣೆಯ ಆಧಾರದ ಮೇಲೆ ಹಲವಾರು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳಲ್ಲಿ ಒಂದೇ ರೀತಿಯ ಕಾರ್ಯಗಳಿಗಾಗಿ ಕೋಡ್‌ನ ಬಳಕೆಯನ್ನು ನಿರ್ಧರಿಸುವ ತಂತ್ರ;
    • ಸೃಷ್ಟಿ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಪರಿಶೀಲನೆಯಿಲ್ಲದೆ ಮಾರ್ಪಡಿಸಿದ UEFI ಫರ್ಮ್‌ವೇರ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು ಇಂಟೆಲ್ ಬೂಟ್ ಗಾರ್ಡ್ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ವಿಧಾನ.
  • ಮಾರಾಟಗಾರರಿಂದ ಅತ್ಯಂತ ಕುಂಟಾದ ಪ್ರತಿಕ್ರಿಯೆ (ಲೇಮೆಸ್ಟ್ ವೆಂಡರ್ ರೆಸ್ಪಾನ್ಸ್). ನಿಮ್ಮ ಸ್ವಂತ ಉತ್ಪನ್ನದಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಕುರಿತು ಸಂದೇಶಕ್ಕೆ ಅತ್ಯಂತ ಅಸಮರ್ಪಕ ಪ್ರತಿಕ್ರಿಯೆಗಾಗಿ ನಾಮನಿರ್ದೇಶನ. ವಿಜೇತರು ಬಿಟ್‌ಫೈ ಕ್ರಿಪ್ಟೋ ವ್ಯಾಲೆಟ್‌ನ ಡೆವಲಪರ್‌ಗಳು, ಅವರು ತಮ್ಮ ಉತ್ಪನ್ನದ ಅಲ್ಟ್ರಾ-ಸೆಕ್ಯುರಿಟಿಯ ಬಗ್ಗೆ ಕೂಗುತ್ತಾರೆ, ಇದು ವಾಸ್ತವದಲ್ಲಿ ಕಾಲ್ಪನಿಕವಾಗಿದೆ, ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸುವ ಸಂಶೋಧಕರಿಗೆ ಕಿರುಕುಳ ನೀಡುತ್ತದೆ ಮತ್ತು ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲು ಭರವಸೆ ನೀಡಿದ ಬೋನಸ್‌ಗಳನ್ನು ಪಾವತಿಸುವುದಿಲ್ಲ;

    ಪ್ರಶಸ್ತಿಗಾಗಿ ಅರ್ಜಿದಾರರಲ್ಲಿ ಸಹ ಪರಿಗಣಿಸಲಾಗಿದೆ:

    • ಭದ್ರತಾ ಸಂಶೋಧಕರು ಏಟ್ರಿಯೆಂಟ್‌ನ ನಿರ್ದೇಶಕರು ಅವರು ಗುರುತಿಸಿದ ದುರ್ಬಲತೆಯ ವರದಿಯನ್ನು ತೆಗೆದುಹಾಕಲು ಬಲವಂತವಾಗಿ ದಾಳಿ ಮಾಡಿದ್ದಾರೆ ಎಂದು ಆರೋಪಿಸಿದರು, ಆದರೆ ನಿರ್ದೇಶಕರು ಘಟನೆಯನ್ನು ನಿರಾಕರಿಸುತ್ತಾರೆ ಮತ್ತು ಕಣ್ಗಾವಲು ಕ್ಯಾಮೆರಾಗಳು ದಾಳಿಯನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡಲಿಲ್ಲ;
    • ನಿರ್ಣಾಯಕ ಸಮಸ್ಯೆಯನ್ನು ಸರಿಪಡಿಸಲು ಜೂಮ್ ವಿಳಂಬವಾಗಿದೆ ದುರ್ಬಲತೆಗಳು ಅದರ ಕಾನ್ಫರೆನ್ಸಿಂಗ್ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಮತ್ತು ಸಾರ್ವಜನಿಕ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯ ನಂತರವೇ ಸಮಸ್ಯೆಯನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯು ಬ್ರೌಸರ್‌ನಲ್ಲಿ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಪುಟವನ್ನು ತೆರೆಯುವಾಗ ಮ್ಯಾಕೋಸ್ ಬಳಕೆದಾರರ ವೆಬ್ ಕ್ಯಾಮೆರಾಗಳಿಂದ ಡೇಟಾವನ್ನು ಪಡೆಯಲು ಬಾಹ್ಯ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು (ಸ್ಥಳೀಯ ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸಿದ ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ ಜೂಮ್ http ಸರ್ವರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿತು).
    • 10 ವರ್ಷಗಳಿಗಿಂತ ಹೆಚ್ಚು ಕಾಲ ಸರಿಪಡಿಸಲು ವಿಫಲವಾಗಿದೆ ಸಮಸ್ಯೆ OpenPGP ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀ ಸರ್ವರ್‌ಗಳೊಂದಿಗೆ, ಕೋಡ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟ OCaml ಭಾಷೆಯಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ನಿರ್ವಹಣೆಯಿಲ್ಲದೆ ಉಳಿದಿದೆ ಎಂಬ ಅಂಶವನ್ನು ಉಲ್ಲೇಖಿಸುತ್ತದೆ.

    ಇನ್ನೂ ಹೆಚ್ಚು ಪ್ರಚಾರ ಮಾಡಲಾದ ದುರ್ಬಲತೆಯ ಪ್ರಕಟಣೆ. ಇಂಟರ್ನೆಟ್ ಮತ್ತು ಮಾಧ್ಯಮದಲ್ಲಿ ಸಮಸ್ಯೆಯ ಅತ್ಯಂತ ಕರುಣಾಜನಕ ಮತ್ತು ದೊಡ್ಡ-ಪ್ರಮಾಣದ ಕವರೇಜ್ಗಾಗಿ ನೀಡಲಾಗುತ್ತದೆ, ವಿಶೇಷವಾಗಿ ದುರ್ಬಲತೆಯು ಅಂತಿಮವಾಗಿ ಆಚರಣೆಯಲ್ಲಿ ದುರ್ಬಳಕೆಯಾಗದಿದ್ದರೆ. ಪ್ರಶಸ್ತಿಯನ್ನು ಬ್ಲೂಮ್‌ಬರ್ಗ್‌ಗೆ ನೀಡಲಾಯಿತು ಹೇಳಿಕೆ ಸೂಪರ್ ಮೈಕ್ರೋ ಬೋರ್ಡ್‌ಗಳಲ್ಲಿ ಸ್ಪೈ ಚಿಪ್‌ಗಳ ಗುರುತಿಸುವಿಕೆಯ ಬಗ್ಗೆ, ಅದನ್ನು ದೃಢೀಕರಿಸಲಾಗಿಲ್ಲ ಮತ್ತು ಮೂಲವನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಸೂಚಿಸಲಾಗಿದೆ ಇತರ ಮಾಹಿತಿ.

    ನಾಮನಿರ್ದೇಶನದಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ:

    • libssh ನಲ್ಲಿ ದುರ್ಬಲತೆ, ಇದು ಮೇಲೆ ಮುಟ್ಟಿದೆ ಸಿಂಗಲ್ ಸರ್ವರ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು (ಲಿಬ್ಸ್ಶ್ ಅನ್ನು ಸರ್ವರ್‌ಗಳಿಗೆ ಎಂದಿಗೂ ಬಳಸಲಾಗುವುದಿಲ್ಲ), ಆದರೆ ಎನ್‌ಸಿಸಿ ಗ್ರೂಪ್ ಯಾವುದೇ ಓಪನ್‌ಎಸ್‌ಎಸ್‌ಹೆಚ್ ಸರ್ವರ್‌ನ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆಯಾಗಿ ಪ್ರಸ್ತುತಪಡಿಸಿತು.
    • DICOM ಚಿತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿ ಮಾಡಿ. ನೀವು ವಿಂಡೋಸ್‌ಗಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಸಿದ್ಧಪಡಿಸಬಹುದು ಅದು ಮಾನ್ಯ DICOM ಇಮೇಜ್‌ನಂತೆ ಕಾಣುತ್ತದೆ. ಈ ಫೈಲ್ ಅನ್ನು ವೈದ್ಯಕೀಯ ಸಾಧನಕ್ಕೆ ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು.
    • ದುರ್ಬಲತೆ ಥ್ರಾಂಗ್ರಿಕ್ಯಾಟ್, ಇದು ಸಿಸ್ಕೋ ಸಾಧನಗಳಲ್ಲಿ ಸುರಕ್ಷಿತ ಬೂಟ್ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ದುರ್ಬಲತೆಯನ್ನು ಮಿತಿಮೀರಿದ ಸಮಸ್ಯೆ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ ಏಕೆಂದರೆ ಇದಕ್ಕೆ ದಾಳಿ ಮಾಡಲು ಮೂಲ ಹಕ್ಕುಗಳು ಬೇಕಾಗುತ್ತವೆ, ಆದರೆ ಆಕ್ರಮಣಕಾರರು ಈಗಾಗಲೇ ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಸಮರ್ಥರಾಗಿದ್ದರೆ, ನಾವು ಯಾವ ಭದ್ರತೆಯ ಬಗ್ಗೆ ಮಾತನಾಡಬಹುದು. ದುರ್ಬಲತೆಯು ಅತ್ಯಂತ ಕಡಿಮೆ ಅಂದಾಜು ಮಾಡಲಾದ ಸಮಸ್ಯೆಗಳ ವರ್ಗದಲ್ಲಿ ಗೆದ್ದಿದೆ, ಏಕೆಂದರೆ ಇದು ಫ್ಲ್ಯಾಶ್‌ಗೆ ಶಾಶ್ವತ ಹಿಂಬಾಗಿಲನ್ನು ಪರಿಚಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ;
  • ಅತಿದೊಡ್ಡ ವೈಫಲ್ಯ (ಅತ್ಯಂತ ಎಪಿಕ್ ಫೇಲ್). ಬ್ಲೂಮ್‌ಬರ್ಗ್‌ಗೆ ಗಟ್ಟಿಯಾದ ಮುಖ್ಯಾಂಶಗಳೊಂದಿಗೆ ಸಂವೇದನಾಶೀಲ ಲೇಖನಗಳ ಸರಣಿಯನ್ನು ನೀಡಲಾಯಿತು ಆದರೆ ತಯಾರಿಸಿದ ಸಂಗತಿಗಳು, ಮೂಲಗಳ ನಿಗ್ರಹ, ಪಿತೂರಿ ಸಿದ್ಧಾಂತಗಳಿಗೆ ಇಳಿಯುವಿಕೆ, "ಸೈಬರ್‌ವೆಪನ್ಸ್" ಮತ್ತು ಸ್ವೀಕಾರಾರ್ಹವಲ್ಲದ ಸಾಮಾನ್ಯೀಕರಣಗಳಂತಹ ಪದಗಳ ಬಳಕೆ. ಇತರ ನಾಮಿನಿಗಳು ಸೇರಿವೆ:
    • Asus ಫರ್ಮ್‌ವೇರ್ ಅಪ್‌ಡೇಟ್ ಸೇವೆಯ ಮೇಲೆ ಶಾಡೋಹ್ಯಾಮರ್ ದಾಳಿ;
    • "ಅನ್‌ಹ್ಯಾಕ್ ಮಾಡಲಾಗದ" ಎಂದು ಪ್ರಚಾರ ಮಾಡಲಾದ BitFi ವಾಲ್ಟ್ ಅನ್ನು ಹ್ಯಾಕಿಂಗ್ ಮಾಡುವುದು;
    • ವೈಯಕ್ತಿಕ ಡೇಟಾದ ಸೋರಿಕೆ ಮತ್ತು ಟೋಕನ್ಗಳು Facebook ಗೆ ಪ್ರವೇಶ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ