ProHoster > بلاګ > انټرنیټ خبرونه > د Ubuntu، وینډوز، macOS او VirtualBox هیکونه د Pwn2Own 2020 سیالۍ کې ښودل شوي

د Ubuntu، وینډوز، macOS او VirtualBox هیکونه د Pwn2Own 2020 سیالۍ کې ښودل شوي

کم راوستل د دوه ورځو سیالیو پایلې Pwn2Own 2020، چې هر کال د CanSecWest کنفرانس برخې په توګه ترسره کیږي. سږکال سیالۍ په حقیقت کې ترسره شوې او بریدونه آنلاین ښودل شوي. سیالۍ په اوبنټو ډیسټاپ (لینکس کرنل) ، وینډوز ، ماکوس ، سفاري ، ورچوئل بوکس او اډوب ریډر کې د پخوانیو نامعلومو زیانونو څخه د ګټې اخیستنې لپاره کاري تخنیکونه وړاندې کړل. د تادیاتو ټوله اندازه 270 زره ډالر وه (د ټول انعام فنډ په اندازه د 4 ملیون امریکایی ډالرو څخه ډیر).

  • په اوبنټو ډیسټاپ کې د امتیازاتو ځایی زیاتوالی د لینوکس کرنل کې د زیانمننې استخراج له لارې د ان پټ ارزښتونو غلط تایید سره تړاو لري (جایزه 30 زره ډالر)؛
  • په VirtualBox کې د میلمنو چاپیریال څخه د وتلو مظاهره او د هایپروایزر حقونو سره کوډ اجرا کول، د دوه زیانونو څخه ګټه پورته کول - د تخصیص شوي بفر څخه بهر د ساحې څخه د معلوماتو لوستلو وړتیا او د غیر پیل شوي متغیرونو سره کار کولو پرمهال یوه تېروتنه (جایزه 40 زره ډالر). د سیالۍ څخه بهر، د صفر ورځې نوښت استازو یو بل VirtualBox هیک هم وښوده، کوم چې د میلمنو په چاپیریال کې د لاسوهنې له لارې کوربه سیسټم ته د لاسرسي اجازه ورکوي؛



  • د سفاري هیک کول د لوړ امتیازونو سره د macOS کرنل کچې ته او د روټ په توګه کیلکولیټر چلول. د استخراج لپاره، د 6 غلطیو سلسله کارول شوې وه (جایزه 70 زره ډالر)؛
  • په وینډوز کې د ځایی امتیازاتو د زیاتوالي دوه مظاهرې د زیانونو څخه د ګټې اخیستنې له لارې چې دمخه خلاص شوي حافظې ساحې ته د لاسرسي لامل کیږي (هر یو د 40 زره ډالرو دوه جایزې)؛
  • په وینډوز کې د مدیر لاسرسی ترلاسه کول کله چې په Adobe Reader کې د ځانګړي ډیزاین شوي PDF سند خلاصول. په برید کې په اکروباټ او وینډوز کرنل کې زیانمنتیاوې شاملې دي چې دمخه خلاص شوي حافظې ساحو ته لاسرسی پورې اړه لري (د $ 50 جایزه).

د کروم، فایرفوکس، ایج، مایکروسافټ هایپر-وی کلائنټ، مایکروسافټ دفتر او مایکروسافټ وینډوز RDP هیک کولو لپاره نومونه بې ادعا پاتې دي. د VMware ورک سټیشن هیک کولو هڅه وشوه، مګر دا ناکامه شوه.
د تیر کال په څیر، د انعام کټګوریو کې د ډیری خلاصې سرچینې پروژې هیکونه شامل ندي (nginx، OpenSSL، Apache httpd).

په جلا توګه، موږ کولی شو د Tesla موټر د معلوماتو سیسټمونو هیک کولو موضوع یادونه وکړو. په سیالۍ کې د ټیسلا د هیک کولو لپاره هیڅ هڅه نه وه شوې ، سره له دې چې د 700 زره ډالرو اعظمي جایزې سره سره ، مګر په جلا توګه معلومات ښکاره شول په Tesla ماډل 2020 کې د DoS زیانمننې (CVE-10558-3) پیژندلو په اړه، کوم چې اجازه ورکوي، کله چې په جوړ شوي براوزر کې په ځانګړې توګه ډیزاین شوې پاڼه پرانیزي، د اتوماتیک څخه خبرتیاوې غیر فعال کړي او د اجزاوو عملیات ګډوډ کړي. سپیډومیټر، براوزر، هوایی کنډک، د نیویګیشن سیسټم، او نور.

سرچینه: opennet.ru

Add a comment