Nofintinina ny vokatry ny telo andro tamin'ny fifaninanana Pwn2Own 2022, natao isan-taona ho ampahany amin'ny fihaonambe CanSecWest. Naseho ho an'ny Desktop Ubuntu, Virtualbox, Safari, Windows 11, Microsoft Teams ary Firefox ny teknika miasa amin'ny fitrandrahana ireo fahalemena tsy fantatra teo aloha. Fanafihana nahomby 25 no naseho, ary andrana telo no niafara tamin'ny tsy fahombiazana. Ny fanafihana dia nampiasa ny famoahana farany azo tsapain-tanana amin'ny fampiharana, navigateur ary rafitra miasa miaraka amin'ny fanavaozam-baovao rehetra misy sy ny fanamafisam-peo mahazatra. Ny totalin'ny karama naloa dia USD 1,155,000.
Ny fifaninanana dia nampiseho ezaka dimy nahomby tamin'ny fitrandrahana ireo fahalemena tsy fantatra taloha tao amin'ny Ubuntu Desktop, nataon'ny ekipa mpandray anjara samihafa. Loka $40 iray no naloa noho ny fanehoana ny fisondrotan'ny tombontsoa eo an-toerana ao amin'ny Ubuntu Desktop amin'ny alalan'ny fanararaotana ny fihoaran'ny buffer roa sy ny olana roa maimaim-poana. Loka efatra, izay mitentina $40 avy ny tsirairay, no nomena noho ny fanehoana ny fisondrotry ny tombontsoa amin'ny alalan'ny fanararaotana ny vulnerabilities Use-After-Free.
Ny tena ampahany amin'ny olana dia tsy mbola notaterina; mifanaraka amin'ny fepetran'ny fifaninanana, ny fampahalalana amin'ny antsipiriany momba ny vulnerabilities rehetra naseho 0 andro dia havoaka raha tsy aorian'ny 90 andro, izay omena ny mpanamboatra hanomanana fanavaozana izay manafoana ny vulnerabilities.
Fanafihana hafa nahomby:
- 100 dolara ho an'ny fampivoarana fanararaotana ho an'ny Firefox, izay namela, rehefa manokatra pejy natao manokana, handalo ny fitokanana sandbox ary manatanteraka kaody ao amin'ny rafitra.
- $ 40 hanehoana fanararaotana izay mampiasa fihoaram-pefy ao amin'ny Oracle Virtualbox mba hialana amin'ny vahiny.
- $50 arivo ho an'ny Apple Safari (buffer overflow).
- 450 arivo dolara ho an'ny fijirihana ny Microsoft Teams (ekipa samihafa dia naneho fijirika telo izay nahazo valisoa 150 arivo ho an'ny tsirairay).
- 80 arivo dolara (fanomezana roa mitentina 40 arivo tsirairay avy) noho ny fanararaotana ny firongatry ny buffer sy ny fampitomboana ny tombontsoan'ny olona iray ao amin'ny Microsoft Windows 11.
- 80 arivo dolara (fanomezana roa mitentina 40 arivo tsirairay avy) noho ny fitrandrahana bibikely ao amin'ny kaody fanamarinana fidirana mba hampitomboana ny tombontsoan'ny olona iray ao amin'ny Microsoft Windows 11.
- $40K amin'ny fitrandrahana integer overflow mba hampitombo ny tombontsoa amin'ny Microsoft Windows 11.
- $40 arivo amin'ny fitrandrahana ny vulnerable Use-After-Free ao amin'ny Microsoft Windows 11.
- $75 ho an'ny fanehoana fanafihana ny rafitra infotainment an'ny Telsa Model 3. Ny fanararaotana dia nampiasa bibikely nitarika fihoaram-pefy sy fanafahana avo roa heny, miaraka amin'ny teknika efa fantatra teo aloha mba hialana amin'ny fitokana-monina sandbox.
Andrana misaraka no natao, saingy tsy nahomby, mba hijirika an'i Microsoft Windows 11 (6 hacks nahomby ary 1 tsy nahomby), Tesla (1 hacks nahomby ary 1 tsy nahomby) ary Microsoft Teams (3 hacks nahomby ary 1 tsy nahomby). Tsy nisy fangatahana fanehoana fanararaotana tao amin'ny Google Chrome tamin'ity taona ity.
Source: opennet.ru