Encamên du rojên pêşbirka Pwn2Own 2024, ku her sal di çarçoveya konferansa CanSecWest de li Vancouverê tê li dar xistin, hatin berhev kirin. Teknîkên xebatê yên ji bo îstismarkirina qelsiyên berê nenas ji bo Ubuntu Desktop, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge û Tesla hatine pêşve xistin. Bi tevahî 23 êrîşên serketî hatin pêşandan, ku 29 qelsiyên berê nenas bikar anîn.
Di êrîşan de bi hemî nûvekirinên berdest û veavakirinên xwerû ve serbestberdanên herî paşîn ên serîlêdan, gerok û pergalên xebitandinê bikar anîn. Tevahiya mûçeya ku hatî dayîn 1,132,500 USD bû. Ji bo hackkirina Tesla, Tesla Model 3 ya din jî hate xelat kirin. Mîqdara xelatên ku ji bo sê pêşbaziyên Pwn2Own yên paşîn hatine dayîn 3,494,750 $ bû. Tîma ku herî zêde pûan girtiye 202 hezar dolar standiye.
Êrîşên kirin:
- Çar êrîşên serketî yên li ser Sermaseya Ubuntu, dihêle ku bikarhênerek bê îmtiyaz mafên root bi dest bixe (yek xelat 20 hezar û 10 hezar dolar, du xelat 5 hezar dolar). Qelsî ji ber şert û mercên nijadê û zêdebûna tamponê çêdibin.
- Êrîşek li ser Firefox-ê ku di vekirina rûpelek taybetî ya sêwirandî de (xelata 100 hezar dolarî) gengaz kir ku îzolasyona sandboxê derbas bike û kodê di pergalê de bicîh bike. Qelsî ji ber xeletiyek ku dihêle ku dane li deverek li derveyî sînorê tamponek ku ji bo tiştek JavaScript hatî veqetandin were xwendin û nivîsandin, û her weha îhtîmala veguheztina rêvekerek bûyerê di nav tiştek JavaScriptê ya îmtiyaz de pêk tê. Bi lez û bez, pêşdebirên Mozilla tavilê nûvekirina Firefox 124.0.1 weşandin, û pirsgirêkên naskirî ji holê rakir.
- Çar êrîşên li ser Chrome, ku hişt ku kod di pergalê de were darve kirin dema ku rûpelek taybetî hatî sêwirandin (yek xelatek 85 û 60 hezar dolar her yek, du xelatên 42.5 hezar). Qelsî ji hêla gihîştina bîranînê ve piştî xwendina belaş, derveyî tampon, û pejirandina têketina nerast têne çêkirin. Sê karanîn gerdûnî ne û ne tenê li Chrome, lê di heman demê de li Edge jî dixebitin.
- Êrîşek li ser Apple Safari ku destûr da ku kod di pergalê de were darve kirin dema ku rûpelek taybetî hatî sêwirandin (xelata 60 $). Zehfbûn ji ber zêdebûnek yekjimar pêk tê.
- Çar hackên Oracle VirtualBox-ê ku hişt ku hûn ji pergala mêvan derkevin û kodê li milê mêvandar bicîh bikin (yek xelat 90 hezar dolar û sê xelatên 20 hezar dolar). Êrîş bi îstismarkirina qelsiyên ku ji ber zêdebûna tampon, şert û mercên nijadê, û gihîştina bîranînê piştî belaş hatine çêkirin, hatine kirin.
- Êrîşek li ser Docker ku destûr da we ku hûn ji konteynirek veqetandî birevin (xelata 60 hezar dolar). Zehfbûn ji ber gihîştina bîranînê piştî belaş pêk tê.
- Du êrîşên li ser VMWare Workstation ku destûr da derketina ji pergala mêvan û pêkanîna kodê li milê mêvandar. Di êrîşan de gihîştina bîranînê piştî belaş, zêdebûnek tampon, û guhêrbarek nedestpêkkirî (prîmên 30 $ û 130 $) bikar anîn.
- Pênc êrîşên li ser Microsoft Windows 11-ê ku hişt ku hûn îmtiyazên xwe zêde bikin (sê bonus 15 hezar dolar, û her yekê bonusek 30 hezar û 7500 dolar). Qelsî ji ber şert û mercên nijadê, hejmarên bêkêmasî, jimartina referansa nerast, û pejirandina çewt a têketinê çêbûne.
- Darvekirina kodê dema ku naverokê di Adobe Reader de hilberandin (50 hezar dolar xelat). Di êrîşê de qelsiyek ku destûrê dide derbaskirina qedexeyên API-yê û xeletiyek ku destûrê dide guheztina fermanê bikar anî.
- Êrîşek li ser pergala agahdariyê ya otomobîlek Tesla, ku bi manîpulasyona otobusa CAN BUS ve hatî kirin û destûr da ku bigihîje hejmarek tevahî û bigihîje ECU (yekîneya kontrola elektronîkî). Xelat 200 hezar dolar û otomobîleke Tesla Model 3 bû.
- Hewldanên hackkirina Microsoft SharePoint û VMware ESXi bi ser neketin.
Hê pêkhateyên rastîn ên pirsgirêkê hîn nehatine ragihandin; li gorî şert û mercên pêşbaziyê, agahdariya hûrgulî li ser hemî qelsiyên 0-rojî yên hatine destnîşan kirin dê tenê piştî 90 rojan bêne weşandin, ku ji hilberîneran re têne dayîn da ku nûvekirinên ku ji holê radikin amade bikin. qelsiyên.
Source: opennet.ru