Nofintinina ny vokatry ny telo andro tamin'ny fifaninanana Pwn2Own 2021, natao isan-taona ho ampahany amin'ny fihaonambe CanSecWest. Toy ny tamin'ny taon-dasa, natao saika ny fifaninanana ary naseho an-tserasera ny fanafihana. Amin'ireo lasibatra 23 nokendrena, ny teknika miasa amin'ny fitrandrahana ireo fahalemena tsy fantatra teo aloha dia naseho ho an'ny Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams ary Zoom. Amin'ny toe-javatra rehetra, ny kinova farany amin'ny programa dia nosedraina, anisan'izany ny fanavaozana rehetra misy. Ny fitambaran'ny vola dia iray tapitrisa sy roa hetsy dolara amerikana (ny fitambaran'ny vola voaloa dia iray tapitrisa dolara).
Tamin'ny fifaninanana dia andrana telo no natao hanararaotra ny vulnerability ao amin'ny Ubuntu Desktop. Ny andrana voalohany sy faharoa dia manan-kery ary ireo mpanafika dia afaka naneho ny fisondrotry ny tombontsoa teo an-toerana tamin'ny alΓ lan'ny fanararaotana ireo fahalemena tsy fantatra taloha mifandraika amin'ny fihoaran'ny buffer ary tsy misy fitadidiana avo roa heny (izay tsy mbola notaterina ny ampahany amin'ny olana; omena 90 andro ny mpamorona manitsy ny lesoka alohan'ny hamoahana data). Tambin-karama mitentina 30 dolara no naloa ho an'ireo vulnerability ireo.
Ny andrana fahatelo, nataon'ny ekipa hafa tao amin'ny sokajy fanararaotana tombontsoa eo an-toerana, dia nahomby tamin'ny ampahany ihany - ny fanararaotana dia niasa ary nahafahana nahazo ny fidirana amin'ny faka, saingy tsy voamarina tanteraka ny fanafihana, satria efa fantatra ny fahadisoana mifandraika amin'ny vulnerability. ho an'ny mpamorona Ubuntu ary efa eo am-panomanana ny fanavaozana misy fanamboarana.
Nisy fanafihana nahomby koa naseho ho an'ny mpitety tranonkala mifototra amin'ny motera Chromium - Google Chrome sy Microsoft Edge. Mba hamoronana fanararaotana izay ahafahanao manatanteraka ny kaodinao rehefa manokatra pejy natao manokana ao amin'ny Chrome sy Edge (fitrandrahana manerantany iray noforonina ho an'ny navigateur roa), dia nahazo loka 100 arivo dolara. Ny fanamboarana dia nokasaina havoaka amin'ny ora ho avy, hatreto ny hany fantatra dia ny vulnerability dia eo amin'ny dingana tompon'andraikitra amin'ny fanodinana votoaty tranonkala (renderer).
Fanafihana hafa nahomby:
- $200 ho an'ny fijinjana ny fampiharana Zoom (nahay nanatanteraka ny kaodiny tamin'ny fandefasana hafatra ho an'ny mpampiasa hafa, tsy mila hetsika avy amin'ny mpandray). Ny fanafihana dia nampiasa vulnerability telo tao amin'ny Zoom ary iray tao amin'ny rafitra fiasan'ny Windows.
- $200 ho an'ny fijirihana ny Microsoft Exchange (fandalovana ny fanamarinana sy ny tombontsoa mitombo eo an-toerana amin'ny mpizara mba hahazoana ny zon'ny mpitantana). Naseho tamin'ny ekipa hafa ny fanararaotana mahomby iray hafa, saingy tsy voaloa ny loka faharoa, satria efa nampiasain'ny ekipa voalohany ireo fahadisoana mitovy amin'izany.
- $200 ho an'ny fijirika ny Microsoft Teams (manatanteraka kaody amin'ny mpizara).
- $100 arivo amin'ny fitrandrahana Apple Safari (mihoatra ny integer ao amin'ny Safari ary mihodinkodina ny buffer ao amin'ny kernel macOS mba hialana amin'ny boaty sandoka ary manatanteraka kaody amin'ny ambaratonga kernel).
- $140 arivo ho an'ny hacking Parallels Desktop (miala amin'ny milina virtoaly ary manatanteraka kaody amin'ny rafitra lehibe). Ny fanafihana dia natao tamin'ny alΓ lan'ny fanararaotana ny vulnerability telo samihafa - ny fitadidiana tsy fantatra, ny stack overflow ary ny integer overflow.
- Loka roa mitentina 40 arivo dolara tsirairay avy amin'ny hacking Parallels Desktop (fahadisoana lojika sy fihoaram-pefy izay nahafahan'ny kaody natao tamin'ny OS ivelany amin'ny alΓ lan'ny hetsika ao anaty milina virtoaly).
- Loka telo mitentina 40 arivo dolara ho an'ny fitrandrahana telo mahomby amin'ny Windows 10 (mihoatra ny integer, miditra amin'ny fahatsiarovana efa nafahana ary fepetra hazakazaka izay nahafahan'ny SYSTEM nahazo tombontsoa).
Nisy ny ezaka natao, saingy tsy nahomby, ny hack Oracle VirtualBox. Nominations ho an'ny hacking Firefox, VMware ESXi, mpanjifa Hyper-V, MS Office 365, MS SharePoint, MS RDP ary Adobe Reader dia mbola tsy voaray. Tsy nisy ihany koa ny naneho ny fijinjana ny rafi-baovaon'ny fiara Tesla, na dia teo aza ny loka 600 arivo dolara miampy fiara Tesla Model 3.
Source: opennet.ru