Ko nga toa o te Tohu Pwnie a tau 2021 kua panuitia, e whakaatu ana i nga whakaraeraetanga tino nui me nga rahunga koretake o te haumaru rorohiko. Ko nga Tohu Pwnie e kiia ana he rite ki nga Oscars me te Golden Raspberries i roto i te mara o te haumaru rorohiko.
Nga toa matua (rarangi o nga kaitono):
- Ko te whakaraeraetanga pai e arai ana ki te piki ake o te mana. I whakawhiwhia te wikitoria ki a Qualys mo te tautuhi i te whakaraeraetanga CVE-2021-3156 i roto i te taputapu sudo, e taea ai e koe te whai mana pakiaka. Ko te whakaraeraetanga kei roto i te waehere mo te 10 tau, a he mea nui ki te tautuhi i te mea me tino tātarihia te arorau o te taputapu.
- bug tūmau pai. I whakawhiwhia mo te tautuhi me te whakamahi i te bug tino uaua me te whakamere i roto i te ratonga whatunga. I whakawhiwhia te wikitoria mo te tautuhi i tetahi vector hou o nga whakaeke i runga i a Microsoft Exchange. Ko nga korero e pa ana ki nga whakaraeraetanga katoa o tenei karaehe kua whakaputahia, engari kua puta kee nga korero mo te whakaraeraetanga CVE-2021-26855 (ProxyLogon), e taea ai e koe te tango i nga raraunga o te kaiwhakamahi noa me te kore motuhēhēnga, me te CVE-2021-27065 , e taea ai te whakahaere i to waehere ki runga i te tūmau whai mana kaiwhakahaere.
- Ko te whakaeke cryptographic pai. I whakawhiwhia mo te tautuhi i nga waahi tino nui i roto i nga punaha tuuturu, nga kawa me nga huringa whakamunatanga. I whakawhiwhia te tohu ki a Microsoft mo te whakaraeraetanga (CVE-2020-0601) i roto i te whakatinanatanga o nga waitohu matihiko i runga i nga pihi elliptic, e taea ai te whakaputa i nga taviri motuhake i runga i nga taviri a te iwi. I whakaaetia te take mo te hanga i nga tiwhikete TLS rūpahu mo HTTPS me nga waitohu mamati tito i whakamanahia e Windows.
- Ko te rangahau tino auaha. I whakawhiwhia te taonga ki nga kairangahau nana i whakatakoto te tikanga BlindSide ki te karo i te whakamarumarutanga o te waahi-a-tauarangi (ASLR) ma te whakamahi i nga riihanga taha-taha i puta mai i nga mahi a te kaiwhakatikatika i nga tohutohu.
- Ko te rahunga nui (Most Epic FAIL). I whakawhiwhia te tohu ki a Microsoft mo te tuku tonu i tetahi whakatika pakaru mo te whakaraeraetanga o PrintNightmare (CVE-2021-34527) i roto i te punaha ta Windows e whakaae ana ki te mahi waehere. I te tuatahi i tohuhia e Microsoft te raruraru i te rohe, engari ka puta mai ka taea te whakaeke i tawhiti. Na ka whakaputahia e Microsoft nga whakahoutanga e wha nga wa, engari i ia wa ka kati noa te whakatika i tetahi keehi motuhake ka kitea e nga kairangahau he huarahi hou hei whakatutuki i te whakaeke.
- Ko te bug pai i roto i te pūmanawa kiritaki. Ko te toa ko te kairangahau nana i tohu te whakaraeraetanga CVE-2020-28341 i roto i nga kaiwhakatikatika crypto haumaru a Samsung, i whakawhiwhia he tiwhikete haumaru CC EAL 5+. Na te whakaraeraetanga i taea ai te karo i te haumarutanga me te uru atu ki te waehere e rere ana i runga i te maramara me nga raraunga e rongoa ana i roto i te enclave, te karo i te raka tiaki mata, me te whakarereke i te firmware ki te hanga i tetahi kuaha huna.
- Ko te whakaraeraetanga tino whakaitihia. I whakawhiwhia te tohu ki a Qualys mo te tautuhi i te raupapa o nga whakaraeraetanga 21Nails i roto i te tūmau mēra Exim, 10 o enei ka taea te whakamahi mamao. I pohehe nga kaiwhakawhanake Exim ka taea te whakamahi i nga raru ka pau mo te 6 marama ki te whakatikatika.
- Te Whakautu Kaihoko Rere. Te whakaingoatanga mo te whakautu kore rawa ki te panui mo te whakaraeraetanga o to hua ake. Ko te toa ko Cellebrite, he kamupene e hanga tono ana mo te wetewete a te hunga mate me te tango raraunga e nga tari whakahaere ture. Kaore a Cellebrite i whakautu tika ki tetahi purongo whakaraerae i tukuna e Moxie Marlinspike, te kaituhi o te kawa Tohu. I aro atu a Moxey ki a Cellebrite i muri i te whakaputanga i roto i te hunga pāpāho o te tuhipoka mo te hanganga o te hangarau e taea ai te hacking nga karere Waitohu whakamunatia, i muri mai ka puta he rūpahu na te pohehe o nga korero i roto i tetahi tuhinga i runga i te paetukutuku Cellebrite. ka tangohia ("te whakaeke" e hiahiatia ana te uru tinana ki te waea me te kaha ki te tango i te mata maukati, ara, i whakaitihia ki te tiro i nga karere i roto i te karere, engari kaore i te ringa, engari ma te whakamahi i tetahi tono motuhake e whakataurite ana i nga mahi a te kaiwhakamahi).
I ako a Moxey i nga tono a Cellebrite ka kitea nga whakaraeraetanga nui i reira ka taea te mahi i nga waehere kawa i te wa e ngana ana ki te matawai i nga raraunga i hangaia motuhake. I kitea ano te tono a Cellebrite e whakamahi ana i te whare pukapuka ffmpeg tawhito kaore ano kia whakahōuhia mo nga tau 9 me te maha o nga whakaraeraetanga kaore ano kia whakaraeraehia. Engari i te whakaae ki nga raruraru me te whakatika i nga raruraru, ka tukuna e Cellebrite tetahi korero e whakaaro ana ia mo te tika o nga raraunga kaiwhakamahi, ka mau tonu te haumarutanga o ana hua ki te taumata tika, ka tukuna i nga wa katoa nga whakahou me te tuku i nga tono pai o ona momo.
- Ko te paetae nui rawa atu. I whakawhiwhia te taonga ki a Ilfak Gilfanov, te kaituhi o te IDA disassembler me te Hex-Rays decompiler, mo ana takoha ki te whakawhanaketanga o nga taputapu mo nga kairangahau haumaru me tona kaha ki te pupuri i tetahi hua hou mo te 30 tau.
Source: opennet.ru