riżultati ta’ jumejn ta’ kompetizzjonijiet Pwn2Own 2020, li jsiru kull sena bħala parti mill-konferenza CanSecWest. Din is-sena l-kompetizzjoni saret virtwalment u l-attakki ġew murija online. Il-kompetizzjoni ppreżentat tekniki ta 'ħidma għall-isfruttament ta' vulnerabbiltajiet mhux magħrufa qabel f'Ubuntu Desktop (Linux kernel), Windows, macOS, Safari, VirtualBox u Adobe Reader. L-ammont totali tal-ħlasijiet kien 270 elf dollaru (fond tal-premju totali aktar minn 4 miljun dollaru Amerikan).
- Eskalazzjoni lokali tal-privileġġi f'Ubuntu Desktop billi tisfrutta vulnerabbiltà fil-kernel tal-Linux assoċjata ma 'verifika ħażina tal-valuri tal-input (premju $30);
- Dimostrazzjoni tal-ħruġ mill-ambjent mistieden f'VirtualBox u l-eżekuzzjoni tal-kodiċi bi drittijiet ta 'hypervisor, li jisfruttaw żewġ vulnerabbiltajiet - il-kapaċità li taqra data minn żona barra l-buffer allokat u żball meta taħdem ma' varjabbli mhux inizjali (premju 40 elf dollaru). Barra mill-kompetizzjoni, ir-rappreżentanti tal-Inizjattiva Zero Day wrew ukoll hack ieħor ta 'VirtualBox, li jippermetti aċċess għas-sistema ospitanti permezz ta' manipulazzjonijiet fl-ambjent tal-mistieden;
- Hacking Safari bi privileġġi elevati għal-livell tal-qalba macOS u tħaddim tal-kalkulatur bħala għerq. Għall-isfruttament, intużat katina ta 'żbalji 6 (premju 70 elf dollaru);
- Żewġ dimostrazzjonijiet ta 'eskalazzjoni tal-privileġġ lokali fil-Windows permezz tal-isfruttament ta' vulnerabbiltajiet li jwasslu għal aċċess għal żona ta 'memorja diġà meħlusa (żewġ premjijiet ta' 40 elf dollaru kull wieħed);
- Ikseb aċċess għall-amministratur fil-Windows meta tiftaħ dokument PDF iddisinjat apposta fl-Adobe Reader. L-attakk jinvolvi vulnerabbiltajiet fl-Acrobat u l-kernel tal-Windows relatati mal-aċċess għal żoni ta 'memorja diġà meħlusa (premju ta' $50).
In-nomini għall-hacking ta' Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office u Microsoft Windows RDP baqgħu mhux mitluba. Sar tentattiv ta' hack ta' VMware Workstation, iżda ma rnexxiex.
Bħas-sena l-oħra, il-kategoriji tal-premjijiet ma kinux jinkludu hacks tal-maġġoranza tal-proġetti open source (nginx, OpenSSL, Apache httpd).
Separatament, nistgħu ninnotaw is-suġġett tal-hacking tas-sistemi ta 'informazzjoni ta' karozza Tesla. Ma kien hemm l-ebda tentattiv biex Tesla hack fil-kompetizzjoni, minkejja l-premju massimu ta '$ 700 elf, iżda separatament dwar l-identifikazzjoni ta 'vulnerabilità DoS (CVE-2020-10558) fit-Tesla Model 3, li tippermetti, meta tiftaħ paġna ddisinjata apposta fil-browser inkorporat, li tiddiżattiva notifiki mill-awtopilota u tfixkel it-tħaddim ta' komponenti bħal l-ispeedometer, browser, arja kondizzjonata, sistema ta 'navigazzjoni, eċċ.
Sors: opennet.ru