Keputusan tiga hari pertandingan Pwn2Own 2022, yang diadakan setiap tahun sebagai sebahagian daripada persidangan CanSecWest, telah disimpulkan. Teknik kerja untuk mengeksploitasi kelemahan yang tidak diketahui sebelum ini telah ditunjukkan untuk Desktop Ubuntu, Virtualbox, Safari, Windows 11, Microsoft Teams dan Firefox. Sebanyak 25 serangan berjaya ditunjukkan, dan tiga percubaan berakhir dengan kegagalan. Serangan menggunakan keluaran stabil terkini bagi aplikasi, penyemak imbas dan sistem pengendalian dengan semua kemas kini yang tersedia dan dalam konfigurasi lalai. Jumlah imbuhan yang dibayar ialah USD 1,155,000.
Pertandingan ini menunjukkan lima percubaan yang berjaya untuk mengeksploitasi kelemahan yang tidak diketahui sebelum ini dalam Desktop Ubuntu, yang dilakukan oleh pasukan peserta yang berbeza. Satu hadiah $40 telah dibayar untuk menunjukkan peningkatan keistimewaan tempatan dalam Desktop Ubuntu dengan mengeksploitasi dua limpahan penimbal dan terbitan percuma berganda. Empat anugerah, setiap satu bernilai $40, telah dianugerahkan kerana menunjukkan peningkatan keistimewaan melalui eksploitasi kelemahan Penggunaan Selepas Bebas.
Komponen sebenar masalah itu belum lagi dilaporkan; mengikut syarat pertandingan, maklumat terperinci tentang semua kelemahan 0 hari yang ditunjukkan akan diterbitkan hanya selepas 90 hari, yang diberikan kepada pengeluar untuk menyediakan kemas kini yang menghapuskan kelemahan.
Serangan lain yang berjaya:
- 100 ribu dolar untuk pembangunan eksploitasi untuk Firefox, yang membenarkan, apabila membuka halaman yang direka khas, memintas pengasingan kotak pasir dan melaksanakan kod dalam sistem.
- $40 untuk menunjukkan eksploitasi yang menggunakan limpahan penimbal dalam Oracle Virtualbox untuk log keluar daripada tetamu.
- 50 ribu dolar untuk mengendalikan Apple Safari (limpahan penimbal).
- 450 ribu dolar untuk menggodam Microsoft Teams (pasukan berbeza menunjukkan tiga penggodaman dengan ganjaran 150 ribu untuk setiap satu).
- 80 ribu dolar (dua anugerah sebanyak 40 ribu setiap satu) kerana mengeksploitasi limpahan penimbal dan meningkatkan keistimewaan seseorang dalam Microsoft Windows 11.
- 80 ribu dolar (dua anugerah sebanyak 40 ribu setiap satu) kerana mengeksploitasi pepijat dalam kod pengesahan akses untuk meningkatkan keistimewaan seseorang dalam Microsoft Windows 11.
- $40K untuk mengeksploitasi limpahan integer untuk meningkatkan keistimewaan dalam Microsoft Windows 11.
- $40 ribu kerana mengeksploitasi kelemahan Penggunaan Selepas Bebas dalam Microsoft Windows 11.
- $75 untuk menunjukkan serangan ke atas sistem infotainmen Model Telsa 3. Eksploitasi menggunakan pepijat yang membawa kepada limpahan penimbal dan pembebasan berganda, bersama-sama dengan teknik pintasan pengasingan kotak pasir yang diketahui sebelum ini.
Percubaan berasingan telah dibuat, tetapi tidak berjaya, untuk menggodam Microsoft Windows 11 (6 penggodaman yang berjaya dan 1 yang tidak berjaya), Tesla (1 penggodaman yang berjaya dan 1 yang tidak berjaya) dan Microsoft Teams (3 penggodaman yang berjaya dan 1 yang tidak berjaya). Tiada permintaan untuk menunjukkan eksploitasi dalam Google Chrome tahun ini.
Sumber: opennet.ru