- Vietējā privilēģiju eskalācija Ubuntu darbvirsmā, izmantojot Linux kodola ievainojamību, kas saistīta ar nepareizu ievades vērtību pārbaudi (balva 30 XNUMX USD);
- Demonstrācija par iziešanu no viesu vides VirtualBox un koda izpildi ar hipervizora tiesībām, izmantojot divas ievainojamības - iespēju nolasīt datus no apgabala ārpus piešķirtā bufera un kļūdu, strādājot ar neinicializētiem mainīgajiem (balva 40 tūkstoši dolāru). Ārpus sacensībām Zero Day Initiative pārstāvji demonstrēja arī kārtējo VirtualBox hakeru, kas ļauj piekļūt saimnieksistēmai, veicot manipulācijas viesu vidē;
- Safari uzlaušana ar paaugstinātām privilēģijām līdz macOS kodola līmenim un kalkulatora palaišana kā root. Ekspluatācijai tika izmantota 6 kļūdu ķēde (balva 70 tūkstoši dolāru);
- Divas demonstrācijas par vietējo privilēģiju eskalāciju operētājsistēmā Windows, izmantojot ievainojamības, kas noved pie piekļuves jau atbrīvotai atmiņas apgabalam (divas balvas 40 tūkstošu dolāru apmērā katra);
- Administratora piekļuves iegūšana operētājsistēmā Windows, atverot īpaši izstrādātu PDF dokumentu programmā Adobe Reader. Uzbrukums ietver Acrobat un Windows kodola ievainojamības, kas saistītas ar piekļuvi jau atbrīvotajām atmiņas zonām (balva 50 XNUMX USD).
Nominācijas par uzlaušanu Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office un Microsoft Windows RDP palika nepieteiktas. Tika mēģināts uzlauzt VMware Workstation, taču tas bija nesekmīgs.
Tāpat kā pagājušajā gadā, balvu kategorijās nebija iekļauti vairuma atvērtā pirmkoda projektu (nginx, OpenSSL, Apache httpd) uzlauzumi.
Atsevišķi mēs varam atzīmēt tēmu par Tesla automašīnas informācijas sistēmu uzlaušanu. Sacensībās netika mēģināts uzlauzt Teslu, neskatoties uz maksimālo balvu 700 tūkstošu dolāru apmērā, bet atsevišķi
Avots: opennet.ru