CanSecWest ညီလာခံ၏တစ်စိတ်တစ်ပိုင်းအဖြစ် နှစ်စဉ်ကျင်းပသည့် Pwn2Own 2022 ပြိုင်ပွဲ၏ သုံးရက်ကြာရလဒ်များကို အကျဉ်းချုံးပြီးဖြစ်သည်။ ယခင်မသိရသေးသော အားနည်းချက်များကို အသုံးချရန်အတွက် လုပ်ဆောင်သည့်နည်းပညာများကို Ubuntu Desktop၊ Virtualbox၊ Safari၊ Windows 11၊ Microsoft Teams နှင့် Firefox အတွက် သရုပ်ပြထားပါသည်။ စုစုပေါင်း 25 ကြိမ်အောင်မြင်သောတိုက်ခိုက်မှုကိုသရုပ်ပြခဲ့ပြီး 1,155,000 ကြိမ်အောင်မြင်စွာပြီးဆုံးခဲ့သည်။ တိုက်ခိုက်မှုများသည် ရရှိနိုင်သော အပ်ဒိတ်များအားလုံးနှင့် မူရင်းဖွဲ့စည်းပုံစနစ်တွင် နောက်ဆုံးထွက်ရှိထားသော တည်ငြိမ်သော အပလီကေးရှင်းများ၊ ဘရောက်ဆာများနှင့် လည်ပတ်မှုစနစ်များကို အသုံးပြုထားသည်။ စုစုပေါင်းလစာငွေမှာ USD XNUMX ဖြစ်သည်။
ပြိုင်ပွဲတွင် ပါဝင်သူများမှ မတူညီသော အဖွဲ့များမှ လုပ်ဆောင်သော Ubuntu Desktop တွင် ယခင်က မသိသော အားနည်းချက်များကို အသုံးချရန် အောင်မြင်သော ကြိုးပမ်းမှု ငါးကြိမ်ကို ပြသခဲ့သည်။ buffer overflow နှင့် double free ပြဿနာများကို အသုံးချခြင်းဖြင့် Ubuntu Desktop တွင် ဒေသဆိုင်ရာအခွင့်ထူးများ တိုးမြင့်လာမှုကို သရုပ်ပြရန်အတွက် $40 ဆုတစ်ခု ပေးဆောင်ခဲ့ပါသည်။ $40 တန်ကြေးရှိသော ဆုလေးခုကို Use-After-Free vulnerabilities များကို အသုံးချခြင်းဖြင့် အခွင့်ထူးများ တိုးမြင့်လာမှုကို သရုပ်ပြရန်အတွက် ချီးမြှင့်ခြင်းဖြစ်သည်။
ပြဿနာ၏ အစိတ်အပိုင်းများကို အတိအကျ အစီရင်ခံခြင်းမပြုရသေးဘဲ၊ ပြိုင်ပွဲစည်းကမ်းချက်များနှင့်အညီ၊ သရုပ်ပြ 0 ရက်ကြာ အားနည်းချက်များအကြောင်း အသေးစိတ်အချက်အလက်များကို ရက်ပေါင်း 90 ပြီးမှသာ ထုတ်ပြန်မည်ဖြစ်ပြီး၊ ထုတ်လုပ်သူများအား အပ်ဒိတ်များကို ပြင်ဆင်ရန်အတွက် ထုတ်လုပ်သူများအား ပေးအပ်မည်ဖြစ်သည်။ အားနည်းချက်များ။
အခြားအောင်မြင်သောတိုက်ခိုက်မှုများ
- အထူးဒီဇိုင်းရေးဆွဲထားသော စာမျက်နှာကိုဖွင့်သည့်အခါ၊ စနစ်အတွင်းရှိ sandbox သီးခြားခွဲထားမှုကို ကျော်လွှားပြီး စနစ်အတွင်းရှိ ကုဒ်ကိုလုပ်ဆောင်ရန် Firefox အတွက် အသုံးချမှုတစ်ခုဖွံ့ဖြိုးတိုးတက်မှုအတွက် ဒေါ်လာ 100 ပေးသည်။
- ဧည့်သည်တစ်ဦးမှ ထွက်ရန် Oracle Virtualbox တွင် ကြားခံအလျှံပယ်ကို အသုံးပြုသည့် အမြတ်ထုတ်မှုကို သရုပ်ပြရန် $40။
- Apple Safari လည်ပတ်မှုအတွက် ဒေါ်လာ 50 (buffer overflow)။
- Microsoft Teams များကို ဟက်ကာအတွက် ဒေါ်လာ 450 (တစ်သင်းလျှင် 150 ဆုငွေဖြင့် ဟက်ကာသုံးကြိမ် သရုပ်ပြခဲ့သည်)။
- Microsoft Windows 80 တွင် ကြားခံအလျှံပယ်များကို အသုံးချကာ တစ်ဦး၏အခွင့်ထူးများကို တိုးမြှင့်ခြင်းအတွက် ဒေါ်လာ 40 (တစ်ဆုလျှင် 11 စီ)။
- Microsoft Windows 80 တွင် တစ်ဦး၏အခွင့်ထူးများ တိုးမြင့်လာစေရန် ဝင်ရောက်စစ်ဆေးခြင်းကုဒ်တွင် bug တစ်ခုကို အသုံးချခြင်းအတွက် ဒေါ်လာ 40 (ဆု 11 ခု XNUMX)။
- Microsoft Windows 40 တွင် အထူးအခွင့်အရေးများကို တိုးမြှင့်ရန်အတွက် ကိန်းပြည့်လျှံမှုကို အသုံးချခြင်းအတွက် $11K။
- Microsoft Windows 40 တွင် Use-After-Free vulnerability ကို အသုံးချခြင်းအတွက် $11။
- Telsa Model 75 ၏ infotainment system ကို တိုက်ခိုက်ခြင်းအတွက် $3 ပေးဆောင်သည်။ အဆိုပါ exploit သည် ကြားခံများပိုလျှံပြီး နှစ်ဆကင်းစင်စေသည့် buff များကိုအသုံးပြုကာ sandbox isolation ကိုကျော်ဖြတ်ခြင်းအတွက် ယခင်ကလူသိများသောနည်းပညာတစ်ခုနှင့်အတူ။
Microsoft Windows 11 (အောင်မြင်သော ဟက်ခ် 6 ခုနှင့် မအောင်မြင် 1 ခု)၊ Tesla (အောင်မြင်သော ဟက်ကာ 1 ခုနှင့် မအောင်မြင်သော 1 ခု) နှင့် Microsoft Teams (အောင်မြင်သော ဟက်ခ် 3 ခုနှင့် မအောင်မြင်သော 1 ခု) တို့ကို သီးခြားခွဲထုတ်ရန် ကြိုးပမ်းခဲ့သော်လည်း မအောင်မြင်ခဲ့ပါ။ ယခုနှစ်တွင် Google Chrome တွင် အမြတ်ထုတ်မှုများကို သရုပ်ပြရန် တောင်းဆိုမှုများ မရှိပါ။
source: opennet.ru