Tamin'ny fihaonambe Black Hat USA tany Las Vegas lanonana loka , izay manasongadina ireo vulnerabilities manan-danja indrindra sy ny tsy fahombiazana tsy mitombina eo amin'ny sehatry ny fiarovana ny solosaina. Ny Pwnie Awards dia heverina ho mitovy amin'ny Oscars sy Golden Raspberries eo amin'ny sehatry ny fiarovana amin'ny ordinatera ary natao isan-taona nanomboka tamin'ny 2007.
tena и :
- Ny mpizara tsara indrindra. Nahazo mari-pankasitrahana noho ny hamantarana sy hitrandraka ny bibikely be pitsiny indrindra ara-teknika sy mahaliana indrindra amin'ny serivisy tambajotra. Ny mpandresy dia ny mpikaroka vulnerability amin'ny mpamatsy VPN Pulse Secure, izay ampiasain'ny Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, US Navy, Departemantan'ny Homeland Security (DHS) amerikana ary angamba ny antsasaky ny serivisy VPN. orinasa avy amin'ny lisitra Fortune 500. Nahita varavarana ambadika ny mpikaroka izay mamela ny mpanafika tsy voamarina hanova ny tenimiafin'ny mpampiasa rehetra. Naseho ny fahafahana mitrandraka ny olana hahazoana fidirana amin'ny mpizara VPN izay misy seranan-tsambo HTTPS ihany no misokatra;
Amin’ireo kandidà tsy nahazo ny loka dia izao no azo marihina:
- Azo ampiasaina amin'ny dingana mialoha ny fanamarinana ao amin'ny rafitra fampidirana mitohy Jenkins, izay ahafahanao manatanteraka kaody amin'ny mpizara. Ny vulnerability dia ampiasain'ny bots mba hikarakarana ny fitrandrahana cryptocurrency amin'ny mpizara;
- manakiana ao amin'ny mpizara mailaka Exim, izay ahafahanao manatanteraka kaody amin'ny mpizara manana zo fototra;
- amin'ny fakan-tsary Xiongmai XMeye P2P IP, ahafahanao mifehy ny fitaovana. Ny fakantsary dia nomena tenimiafina injeniera ary tsy nampiasa fanamarinana sonia nomerika rehefa nanavao ny firmware;
- manakiana amin'ny fampiharana ny protocol RDP amin'ny Windows, izay ahafahanao manatanteraka ny kaody anao;
- ao amin'ny WordPress, mifandray amin'ny fametahana kaody PHP amin'ny endrika sary. Ny olana dia ahafahanao manatanteraka fehezan-dalàna tsy misy dikany amin'ny mpizara, manana ny tombontsoan'ny mpanoratra ny famoahana (Mpanoratra) ao amin'ny tranokala;
- Best Client Software Bug. Ny mpandresy dia ny mora ampiasaina ao amin'ny rafitra fiantsoana vondrona Apple FaceTime, mamela ny mpanentana antso ho an'ny vondrona hanomboka ny fanekena an-tery ny antso eo anilan'ny antoko antsoina (ohatra, ho an'ny fihainoana sy ny snooping).
Natolotra ny loka ihany koa ny:
- ao amin'ny WhatsApp, izay ahafahanao manatanteraka ny kaody anao amin'ny alàlan'ny fandefasana antso an-tariby natao manokana;
- ao amin'ny tranombokin'ny sary Skia ampiasaina ao amin'ny navigateur Chrome, izay mety hitarika ho amin'ny fahasimban'ny fitadidiana noho ny hadisoan'ny teboka mitsinkafona amin'ny fanovana geometrika sasany;
- Fisondrotana tsara indrindra amin'ny fahakelezan'ny tombontsoa. Fandresena no nomena noho ny famantarana ao amin'ny kernel iOS, izay azo trandrahana amin'ny alàlan'ny ipc_voucher, azo idirana amin'ny alàlan'ny navigateur Safari.
Natolotra ny loka ihany koa ny:
- amin'ny Windows, ahafahanao mahazo fifehezana tanteraka ny rafitra amin'ny alàlan'ny fanodikodinana miaraka amin'ny asa CreateWindowEx (win32k.sys). Ny olana dia fantatra nandritra ny famakafakana ny malware izay nanararaotra ny vulnerable talohan'ny nanamboarana azy;
- ao amin'ny runc sy LXC, misy fiantraikany amin'ny Docker sy ny rafitra fitokanana fitoeran-javatra hafa, mamela ny fitoeran-javatra mitoka-monina fehezin'ny mpanafika hanova ny rakitra runc executable ary mahazo tombontsoa faka amin'ny lafiny rafitra mpampiantrano;
- ao amin'ny iOS (CFPrefsDaemon), izay ahafahanao mandingana ny maodely mitoka-monina ary manatanteraka ny kaody misy zo fototra;
- ao amin'ny andiany Linux TCP stack ampiasaina amin'ny Android, mamela ny mpampiasa eo an-toerana hanandratra ny tombontsoany amin'ny fitaovana;
- ao amin'ny systemd-journald, izay ahafahanao mahazo zo fototra;
- ao amin'ny utility tmpreaper ho fanadiovana /tmp, izay ahafahanao mitahiry ny rakitrao amin'ny ampahany amin'ny rafi-drakitra;
- Fanafihana kriptografika tsara indrindra. Nahazo mari-pankasitrahana noho ny famantarana ny lesoka lehibe indrindra amin'ny rafitra tena izy, ny protocols ary ny algorithm encryption. Nomena ny loka noho ny famantarana ao amin'ny WPA3 Wireless Network Security Technology sy EAP-pwd, izay ahafahanao mamerina ny tenimiafina fifandraisana ary mahazo miditra amin'ny tambajotra tsy misy fahafantarana ny tenimiafina.
Ireo kandidà hafa nahazo ny loka dia:
- fanafihana amin'ny encryption PGP sy S/MIME amin'ny mpanjifa mailaka;
- fomba baoty mangatsiaka hahazoana fidirana amin'ny votoatin'ny fizarazarana Bitlocker miafina;
- ao amin'ny OpenSSL, izay ahafahanao manasaraka ny toe-javatra mahazo padding diso sy MAC diso. Ny olana dia vokatry ny fikarakarana tsy mety amin'ny zero bytes amin'ny oracle padding;
- miaraka amin'ny kara-panondro ampiasaina any Alemaina mampiasa SAML;
- miaraka amin'ny entropy isa kisendrasendra amin'ny fampiharana ny fanohanana ny marika U2F ao amin'ny ChromeOS;
- ao amin'ny Monocypher, noho izany dia nekena ho marina ny sonia EdDSA null.
- Ny fikarohana vaovao indrindra hatramin'izay. Ny loka dia nomena ny mpamorona ny teknolojia , izay mampiasa toromarika vector AVX-512 mba haka tahaka ny fanatanterahana ny programa, ahafahana mampitombo be ny hafainganam-pandehan'ny fitiliana (hatramin'ny 40-120 miliara isan-tsegondra). Ny teknika dia ahafahan'ny core CPU tsirairay mihazakazaka milina virtoaly 8 64-bit na 16 32-bit mifanaraka amin'ny toromarika momba ny fitiliana ny fampiharana.
Ireto manaraka ireto no nahazo ny loka:
- amin'ny teknolojia Power Query avy amin'ny MS Excel, izay ahafahanao mandamina ny famonoana kaody sy ny fomba fitokana-monina amin'ny fampiharana rehefa manokatra takelaka natao manokana;
- mamitaka ny autopilot an'ny fiara Tesla mba hanentana ny fiara amin'ny lalana ho avy;
- reverse engineering ny ASICS chip Siemens S7-1200;
- - teknika fanaraha-maso ny fihetsehan'ny rantsantanana mba hamaritana ny kaody fanokafana ny telefaona, mifototra amin'ny fitsipiky ny fiasan'ny sonar - ny fanamafisam-peo ambony sy ambany amin'ny finday dia miteraka fihovitrovitra tsy azo re, ary ireo mikrô naorina ao anatiny dia maka azy ireo mba hamakafaka ny fisian'ny vibration hita taratra avy amin'ny tanana;
- ny NSA's Ghidra reverse engineering toolkit;
- - teknika hamaritana ny fampiasana kaody ho an'ny asa mitovy amin'ny rakitra azo tanterahana maromaro mifototra amin'ny famakafakana ny fivoriambe binary;
- fomba iray hialana amin'ny mekanisma Intel Boot Guard hametahana firmware UEFI novaina tsy misy fanamarinana sonia nomerika.
- Ny fanehoan-kevitra malemy indrindra avy amin'ny mpivarotra (Valin'ny mpivarotra farany indrindra). Fanendrena ho valin-teny tsy mety indrindra amin'ny hafatra momba ny fahalemena amin'ny vokatrao manokana. Ny mpandresy dia ireo mpamorona ny kitapom-bolan'ny BitFi crypto, izay mikiakiaka momba ny fiarovana ny vokatra azony, izay raha ny marina dia nivadika ho sary an-tsaina, manorisory ireo mpikaroka izay mamantatra ny fahalemena, ary tsy mandoa ny bonus nampanantenaina amin'ny famantarana ny olana;
Anisan'ireo mpangataka ny mari-pankasitrahana noheverina ihany koa:
- Ny mpikaroka momba ny fiarovana dia niampanga ny talen'ny Atrient ho nanafika azy mba hanerena azy hanaisotra ny tatitra momba ny fahalemena hitany, saingy nolavin'ny tale ny zava-nitranga ary ny fakantsary fanaraha-maso dia tsy nandrakitra ny fanafihana;
- Nanemotra ny famahana olana lehibe i Zoom ao amin'ny rafitra fihaonany ary nanitsy ny olana taorian'ny fampahafantarana ampahibemaso. Ny vulnerability dia nahafahan'ny mpanafika ivelany mahazo angon-drakitra avy amin'ny fakan-tsary web an'ny mpampiasa macOS rehefa manokatra pejy natao manokana ao amin'ny navigateur (Zoom dia nanangana mpizara http amin'ny lafiny mpanjifa izay nahazo baiko avy amin'ny fampiharana eo an-toerana).
- Ny tsy fahombiazan'ny fanitsiana nandritra ny 10 taona mahery miaraka amin'ireo lohamilina kryptografika OpenPGP, milaza ny zava-misy fa ny kaody dia voasoratra amin'ny fiteny OCaml manokana ary mijanona tsy misy mpikarakara.
Ny fanambarana vulnerability indrindra indrindra hatramin'izao. Nahazo mari-pankasitrahana ho an'ny fandrakofana tena mampalahelo sy midadasika indrindra momba ny olana amin'ny Internet sy ny haino aman-jery, indrindra raha toa ka tsy azo trandrahana amin'ny fampiharana ny vulnerable. Ny loka dia nomena an'i Bloomberg noho ny momba ny famantarana ny chips mpitsikilo amin'ny takelaka Super Micro, izay tsy voamarina, ary ny loharano dia nanondro tanteraka .
Voatonona tao amin'ny fanendrena:
- Ny vulnerability amin'ny libssh, izay fampiharana mpizara tokana (saika tsy ampiasaina amin'ny mpizara mihitsy ny libssh), fa nasehon'ny Vondrona NCC ho toy ny vulnerability izay mamela ny fanafihana mpizara OpenSSH rehetra.
- Fanafihana mampiasa sary DICOM. Ny teboka dia ny ahafahanao manomana rakitra azo tanterahana ho an'ny Windows izay ho toy ny sary DICOM manan-kery. Ity rakitra ity dia azo alaina amin'ny fitaovana ara-pitsaboana ary hovonoina.
- Fahamoram-pahavoazana , izay ahafahanao mandingana ny mekanika boot azo antoka amin'ny fitaovana Cisco. Ny vulnerability dia sokajiana ho olana be loatra satria mitaky zon'ny faka ny fanafihana, fa raha efa afaka mahazo fidirana amin'ny fakany ilay mpanafika, inona no fiarovana azontsika resahina. Ny vulnerability koa dia nandresy tao amin'ny sokajy olana faran'izay ambany indrindra, satria mamela anao hampiditra backdoor maharitra ao amin'ny Flash;
- Ny tsy fahombiazana lehibe indrindra (Ny ankamaroan'ny Epic FAIL). Ny fandresena dia nomena an'i Bloomberg noho ny andian-dahatsoratra manaitra miaraka amin'ny lohateny mafy nefa zava-misy noforonina, fanafoanana ny loharano, fidinana ho amin'ny teorian'ny tsikombakomba, fampiasana teny toy ny “fitaovam-piadiana an-tserasera”, ary ny famintinana tsy azo ekena. Anisan'ireo voatendry hafa:
- Fanafihana Shadowhammer amin'ny serivisy fanavaozana firmware Asus;
- Fijirika ny vata BitFi izay nambara ho “tsy azo zakaina”;
- Miporitsaka ny angon-drakitra manokana sy fidirana amin'ny Facebook.
Source: opennet.ru