Opambana a Pwnie Awards 2021 apachaka adalengezedwa, kuwonetsa zofooka zazikulu komanso zolephera zopanda pake pachitetezo cha makompyuta. Pwnie Awards amaonedwa kuti ndi ofanana ndi Oscars ndi Golden Raspberries pankhani ya chitetezo cha makompyuta.
Opambana (mndandanda wa omwe akupikisana nawo):
- Chiwopsezo chabwino kwambiri chomwe chimatsogolera kukukula kwa mwayi. Kupambanaku kudaperekedwa kwa Qualys pozindikira kusatetezeka kwa CVE-2021-3156 mu sudo utility, yomwe imakupatsani mwayi wopeza mwayi. Chiwopsezocho chinalipo mu code kwa zaka pafupifupi 10 ndipo ndizodziwika bwino chifukwa kuzizindikira kumafuna kusanthula mozama za momwe mungagwiritsire ntchito.
- Bwino seva cholakwika. Amapatsidwa mwayi wozindikira ndikugwiritsa ntchito cholakwika chaukadaulo komanso chosangalatsa pamanetiweki. Kupambanaku kudaperekedwa chifukwa chozindikira vekitala yatsopano yowukira pa Microsoft Exchange. Zambiri zokhudzana ndi zovuta zonse za kalasiyi zasindikizidwa, koma zambiri zawululidwa kale za kusatetezeka kwa CVE-2021-26855 (ProxyLogon), yomwe imakupatsani mwayi wochotsa zidziwitso za ogwiritsa ntchito mosasamala popanda kutsimikizika, ndi CVE-2021-27065 , zomwe zimapangitsa kuti zitheke kukhazikitsa code yanu pa seva yokhala ndi ufulu woyang'anira.
- Kuwukira kwabwino kwambiri kwa cryptographic. Amapatsidwa mwayi wozindikira mipata yofunikira kwambiri pamakina enieni, ma protocol ndi ma algorithms achinsinsi. Mphothoyi idaperekedwa kwa Microsoft chifukwa chokhala pachiwopsezo (CVE-2020-0601) pakukhazikitsa siginecha ya digito kutengera ma elliptic curve, omwe amalola kupanga makiyi achinsinsi kutengera makiyi a anthu onse. Nkhaniyi idalola kuti pakhale ziphaso zabodza za TLS za HTTPS ndi siginecha zabodza za digito zomwe Windows idatsimikizira kuti ndi yodalirika.
- Kafukufuku wopangidwa mwatsopano kwambiri. Mphothoyi idaperekedwa kwa ofufuza omwe adaganiza kuti njira ya BlindSide idutse chitetezo chokhazikika pamadilesi (ASLR) pogwiritsa ntchito kutayikira kwam'mbali komwe kumachitika chifukwa cha malangizo ongoyerekeza.
- Kulephera kwakukulu (Kwambiri Epic FAIL). Mphothoyi idaperekedwa kwa Microsoft chifukwa chotulutsa mobwerezabwereza chokonza chosweka cha PrintNightmare vulnerability (CVE-2021-34527) mu makina osindikizira a Windows omwe amalola kuphedwa kwa ma code. Microsoft poyambirira idalengeza kuti vutoli ndi lamba, koma zidapezeka kuti kuwukirako kutha kuchitika patali. Kenako Microsoft idasindikiza zosintha kanayi, koma nthawi iliyonse kukonza kumangotseka vuto lapadera ndipo ofufuza adapeza njira yatsopano yochitira chiwembucho.
- The yabwino cholakwika mu kasitomala mapulogalamu. Wopambana anali wofufuza yemwe adazindikira chiwopsezo cha CVE-2020-28341 mu Samsung otetezeka cryptoprocessors, omwe adalandira chiphaso chachitetezo cha CC EAL 5+. Chiwopsezocho chinapangitsa kuti zitheke kuzilambalala chitetezo ndikupeza ma code omwe akuyenda pa chip ndi deta yosungidwa mu enclave, kudutsa loko yotchinga chophimba, komanso kusintha kusintha kwa firmware kuti apange chitseko chobisika.
- Kusatetezeka kocheperako. Mphothoyi idaperekedwa kwa Qualys chifukwa chozindikira zovuta zingapo za 21Nails mu seva ya Exim mail, 10 ya zomwe zitha kugwiritsidwa ntchito kutali. Madivelopa a Exim anali okayikira kuti mavutowa atha kugwiritsidwa ntchito ndikutha miyezi 6 akukonza zokonza.
- Lamest Vendor Response. Kusankhidwa kwa mayankho osakwanira ku uthenga wonena za kusatetezeka kwazinthu zanu. Wopambana anali Cellebrite, kampani yomwe imapanga zofunsira kuti zifufuze zazamalamulo ndi kuchotsa deta ndi mabungwe azamalamulo. Cellebrite sanayankhe mokwanira ku lipoti lachiwopsezo lotumizidwa ndi Moxie Marlinspike, mlembi wa Signal protocol. Moxey adachita chidwi ndi Cellebrite pambuyo pofalitsa nkhani yokhudzana ndi kulengedwa kwa teknoloji yomwe imalola kusokoneza mauthenga a Signal, omwe pambuyo pake adakhala abodza chifukwa cha kutanthauzira molakwika kwa chidziwitso m'nkhani yomwe ili pa webusaiti ya Cellebrite. kenako kuchotsedwa ("kuukira" kumafuna mwayi wopezeka pafoni komanso kuthekera kochotsa loko chophimba, i.e. idachepetsedwa kuwonera mauthenga mumthenga, koma osati pamanja, koma kugwiritsa ntchito pulogalamu yapadera yomwe imatengera zochita za ogwiritsa ntchito).
Moxey adaphunzira ntchito za Cellebrite ndipo adapeza zovuta zomwe zimalola kuti malamulo azitha kuchitidwa poyesa kusanthula deta yopangidwa mwapadera. Pulogalamu ya Cellebrite idapezekanso ikugwiritsa ntchito laibulale yachikale ya ffmpeg yomwe inali isanasinthidwe kwa zaka 9 ndipo inali ndi zovuta zambiri zomwe sizinalembedwe. M'malo movomereza mavutowo ndikukonza mavutowo, Cellebrite adatulutsa mawu akuti amasamala za kukhulupirika kwa data ya ogwiritsa ntchito, amasunga chitetezo chazinthu zake pamlingo woyenera, amatulutsa zosintha nthawi zonse ndikupereka ntchito zabwino zamtundu wake.
- Kupambana kwakukulu. Mphothoyi idaperekedwa kwa Ilfak Gilfanov, mlembi wa IDA disassembler ndi Hex-Rays decompiler, chifukwa cha zopereka zake pakupanga zida za ofufuza zachitetezo komanso kuthekera kwake kosunga zinthu zatsopano kwa zaka 30.
Source: opennet.ru