CanSecWest чуулганы хүрээнд жил бүр зохион байгуулдаг Pwn2Own 2022 тэмцээний гурван өдрийн үр дүнг нэгтгэн гаргалаа. Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams болон Firefox-д урьд өмнө мэдэгдээгүй сул талуудыг ашиглах ажлын арга техникийг харуулсан. Нийт 25 удаа амжилттай довтолж, гурван оролдлого бүтэлгүйтсэн. Халдлагад бүх боломжтой шинэчлэлтүүд болон анхдагч тохиргоотой программууд, хөтчүүд болон үйлдлийн системүүдийн хамгийн сүүлийн үеийн тогтвортой хувилбаруудыг ашигласан. Нийт төлсөн цалингийн хэмжээ 1,155,000 ам.доллар болсон.
Тэмцээн нь Ubuntu Desktop-ийн урьд өмнө мэдэгдээгүй сул талуудыг ашиглах таван оролдлогыг амжилттай харуулсан бөгөөд оролцогчдын янз бүрийн баг хийсэн. Хоёр буфер халих, давхар үнэгүй асуудлыг ашиглах замаар Ubuntu Desktop дээр орон нутгийн давуу эрхийг нэмэгдүүлэхийг харуулсан нэг 40 долларын шагналыг төлсөн. 40 долларын үнэтэй дөрвөн шагналыг "Ашиглалтын дараа үнэ төлбөргүй" сул талыг ашиглах замаар давуу эрхээ нэмэгдүүлэхийг харуулсан шагналыг олгосон.
Асуудлын тодорхой бүрэлдэхүүн хэсгүүдийг хараахан мэдээлээгүй байгаа бөгөөд уралдааны нөхцлийн дагуу 0 өдрийн бүх сул талуудын талаарх нарийвчилсан мэдээллийг зөвхөн 90 хоногийн дараа нийтлэх бөгөөд үүнийг арилгах шинэчлэлтүүдийг бэлтгэхийн тулд үйлдвэрлэгчдэд өгөх болно. эмзэг байдал.
Бусад амжилттай халдлага:
- Firefox-д зориулсан мөлжлөгийг хөгжүүлэхэд 100 мянган доллар зарцуулсан бөгөөд энэ нь тусгайлан зохион бүтээсэн хуудсыг нээхдээ хамгаалагдсан хязгаарлагдмал орчны тусгаарлалтыг алгасаж, систем дэх кодыг ажиллуулах боломжийг олгосон.
- Зочиноос гарахын тулд Oracle Virtualbox дахь буфер халилтыг ашигладаг мөлжлөгийг харуулахын тулд $40.
- Apple Safari-г ажиллуулахад 50 мянган доллар (буфер халих).
- Microsoft Teams-ийг хакердсаны төлөө 450 мянган доллар (өөр өөр багууд тус бүрдээ 150 мянган шагналын гурван хакер үзүүлсэн).
- Microsoft Windows 80-д буферийн хэт их ачаалал, давуу эрхээ нэмэгдүүлсний төлөө 40 мянган доллар (тус бүр нь 11 мянган хоёр шагнал).
- Microsoft Windows 80 үйлдлийн системд нэвтрэх эрхийг баталгаажуулах кодонд гарсан алдааг ашигласны төлөө 40 мянган доллар (тус бүр нь 11 мянган төгрөгийн хоёр шагнал).
- Microsoft Windows 40 дээрх давуу эрхийг нэмэгдүүлэхийн тулд бүхэл тоон хэтрэлтийг ашиглахад 11 мянган доллар.
- Microsoft Windows 40-ийн "After-Free" сул талыг ашиглахад 11 мянган доллар.
- Telsa Model 75-ын инфотайнмент системд халдаж байгааг харуулахад 3 мянган ам.доллар. Энэхүү мөлжлөг нь хамгаалагдсан хязгаарлагдмал орчны тусгаарлалтыг тойрч гарах өмнө нь мэдэгдэж байсан аргачлалын хамт буфер халих, давхар чөлөөлөхөд хүргэдэг алдаануудыг ашигласан.
Microsoft Windows 11 (6 амжилттай хакердсан, 1 амжилтгүй болсон), Tesla (1 амжилттай хакердсан, 1 амжилтгүй болсон) болон Microsoft Teams (3 амжилттай хакердсан, 1 амжилтгүй болсон) зэрэг тус тусад нь оролдсон боловч амжилтгүй болсон. Энэ жил Google Chrome-д ашиглалт үзүүлэх хүсэлт ирээгүй.
Эх сурвалж: opennet.ru