- Lokal eskalering av privilegier i Ubuntu Desktop ved å utnytte en sårbarhet i Linux-kjernen assosiert med feil verifisering av inngangsverdier (premie $30 XNUMX);
- Demonstrasjon av å gå ut av gjestemiljøet i VirtualBox og utføre kode med hypervisorrettigheter, utnytte to sårbarheter - muligheten til å lese data fra et område utenfor den tildelte bufferen og en feil når du arbeider med uinitialiserte variabler (premie 40 tusen dollar). Utenfor konkurransen demonstrerte representanter for Zero Day Initiative også et annet VirtualBox-hack, som gir tilgang til vertssystemet gjennom manipulasjoner i gjestemiljøet;
- Hacke Safari med forhøyede rettigheter til macOS-kjernenivå og kjøre kalkulatoren som root. For utnyttelse ble en kjede med 6 feil brukt (premie 70 tusen dollar);
- To demonstrasjoner av lokal rettighetseskalering i Windows gjennom utnyttelse av sårbarheter som fører til tilgang til et allerede frigjort minneområde (to premier på 40 tusen dollar hver);
- Få administratortilgang i Windows når du åpner et spesialdesignet PDF-dokument i Adobe Reader. Angrepet involverer sårbarheter i Acrobat og Windows-kjernen knyttet til tilgang til allerede frigjorte minneområder (premie på $50 XNUMX).
Nominasjoner for hacking av Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office og Microsoft Windows RDP forble ikke gjort krav på. Det ble gjort et forsøk på å hacke VMware Workstation, men det lyktes ikke.
Som i fjor, inkluderte ikke premiekategoriene hacks av de fleste åpen kildekode-prosjekter (nginx, OpenSSL, Apache httpd).
Separat kan vi merke oss temaet hacking av informasjonssystemene til en Tesla-bil. Det var ingen forsøk på å hacke Tesla i konkurransen, til tross for maksimalpremien på $700 tusen, men separat
Kilde: opennet.ru