CanSecWest ညီလာခံ၏တစ်စိတ်တစ်ပိုင်းအဖြစ် နှစ်စဉ်ကျင်းပသည့် Pwn2Own 2020 ပြိုင်ပွဲများ၏ နှစ်ရက်ရလဒ်များ။ ယခုနှစ်တွင် ပြိုင်ပွဲကို လုံးဝနီးပါး ကျင်းပခဲ့ပြီး တိုက်ခိုက်မှုများကို အွန်လိုင်းတွင် ပြသခဲ့သည်။ ပြိုင်ဆိုင်မှုသည် Ubuntu Desktop (Linux kernel)၊ Windows၊ macOS၊ Safari၊ VirtualBox နှင့် Adobe Reader တို့တွင် ယခင်က မသိသော အားနည်းချက်များကို အသုံးချရန် လုပ်ဆောင်သည့် နည်းပညာများကို တင်ဆက်ခဲ့သည်။ စုစုပေါင်း ပေးချေမှုပမာဏမှာ ဒေါ်လာ ၂၇၀,ဝဝဝ (စုစုပေါင်း ဆုကြေးငွေဖြစ်သည်။ အမေရိကန်ဒေါ်လာ ၄ သန်းကျော်)။
- ထည့်သွင်းတန်ဖိုးများကို မမှန်ကန်ကြောင်း အတည်ပြုခြင်းနှင့် ဆက်စပ်နေသည့် Linux kernel တွင် အားနည်းချက်တစ်ခုအား အသုံးချခြင်းဖြင့် Ubuntu Desktop တွင် အခွင့်ထူးများ တိုးမြင့်လာခြင်း (ဆုငွေ 30 ဒေါ်လာ)၊
- VirtualBox တွင် ဧည့်သည်ပတ်ဝန်းကျင်မှ ထွက်ခြင်း သရုပ်ပြခြင်းနှင့် hypervisor ရပိုင်ခွင့်များဖြင့် ကုဒ်ကို လုပ်ဆောင်ခြင်း ၊ အားနည်းချက် နှစ်ခုကို အသုံးချခြင်း - ခွဲဝေပေးထားသော ကြားခံပြင်ပ ဧရိယာမှ ဒေတာကို ဖတ်ရှုနိုင်မှုနှင့် uninitialized variables (ဆုငွေ ဒေါ်လာ 40) ဖြင့် လုပ်ဆောင်သည့်အခါ အမှားတစ်ခု။ ပြိုင်ပွဲပြင်ပတွင် Zero Day Initiative မှ ကိုယ်စားလှယ်များသည် ဧည့်သည်ပတ်ဝန်းကျင်တွင် ကိုင်တွယ်မှုများမှတစ်ဆင့် host system သို့ ဝင်ရောက်ခွင့်ပြုသည့် အခြားသော VirtualBox ဟက်ခ်ကို သရုပ်ပြခဲ့သည်။
- macOS kernel အဆင့်အထိ အခွင့်ထူးများနှင့်အတူ Safari ကို ဟက်ခ်လုပ်ပြီး ဂဏန်းပေါင်းစက်ကို root အဖြစ် လုပ်ဆောင်ခြင်း။ ခေါင်းပုံဖြတ်ခြင်းအတွက် အမှား 6 ခုပါသော ကွင်းဆက်တစ်ခု (ဆုငွေ ဒေါ်လာ 70) ကို အသုံးပြုခဲ့သည်။
- လွတ်မြောက်ပြီးသား မမ်မိုရီဧရိယာသို့ ဝင်ရောက်နိုင်စေမည့် အားနည်းချက်များကို အသုံးချခြင်းဖြင့် Windows တွင် ဒေသဆိုင်ရာအခွင့်ထူးများ တိုးမြင့်လာမှု၏ သရုပ်ပြမှုနှစ်ခု (တစ်ခုလျှင် ဒေါ်လာ 40)၊
- Adobe Reader တွင် အထူးဒီဇိုင်းထုတ်ထားသော PDF စာရွက်စာတမ်းကိုဖွင့်သည့်အခါ Windows တွင် စီမံခန့်ခွဲသူဝင်ရောက်ခွင့် ရရှိခြင်း။ တိုက်ခိုက်မှုတွင် Acrobat တွင် အားနည်းချက်များပါဝင်ပြီး လွတ်မြောက်ပြီးသား မမ်မိုရီဧရိယာများ (ဆု $50) ကို ရယူခြင်းဆိုင်ရာ Windows kernel တို့ ပါဝင်ပါသည်။
Chrome၊ Firefox၊ Edge၊ Microsoft Hyper-V Client၊ Microsoft Office နှင့် Microsoft Windows RDP တို့ကို ဟက်ကာများအတွက် အမည်စာရင်းတင်သွင်းမှုများကို အရေးဆိုထားခြင်းမရှိသေးပါ။ VMware Workstation ကို hack ရန် ကြိုးပမ်းခဲ့သော်လည်း မအောင်မြင်ခဲ့ပါ။
ယမန်နှစ်ကဲ့သို့ပင်၊ ဆုအမျိုးအစားများတွင် open source ပရောဂျက်အများစု (nginx၊ OpenSSL၊ Apache httpd) ၏ hacks များမပါဝင်ပါ။
သီးခြားအားဖြင့်၊ Tesla ကားတစ်စီး၏ အချက်အလက်စနစ်များကို ဟက်ကာလုပ်ခြင်း၏ ခေါင်းစဉ်ကို ကျွန်ုပ်တို့ မှတ်သားနိုင်ပါသည်။ အမြင့်ဆုံးဆု $ 700 ရရှိသော်လည်း ပြိုင်ဆိုင်မှုတွင် Tesla ကို hack ရန် ကြိုးပမ်းမှုမျိုး မရှိခဲ့ပေ။ Tesla Model 2020 တွင် DoS အားနည်းချက် (CVE-10558-3) ကို ဖော်ထုတ်ခြင်းအကြောင်း၊ ၎င်းသည် built-in browser တွင် အထူးဒီဇိုင်းပြုလုပ်ထားသော စာမျက်နှာကိုဖွင့်သည့်အခါတွင်၊ အော်တိုပီလော့မှ အကြောင်းကြားချက်များကို ပိတ်ရန်နှင့် ကဲ့သို့သော အစိတ်အပိုင်းများ၏ လုပ်ဆောင်ချက်ကို အနှောင့်အယှက်ဖြစ်စေရန် ခွင့်ပြုပေးပါသည်။ အမြန်နှုန်းပြကိရိယာ၊ ဘရောက်ဆာ၊ လေအေးပေးစက်၊ လမ်းကြောင်းပြစနစ် စသဖြင့်
source: opennet.ru