د 2021 کلني Pwnie جایزې ګټونکي ټاکل شوي ، د کمپیوټر امنیت په برخه کې خورا مهم زیانونه او بې ځایه ناکامۍ په ګوته کوي. د Pwnie جایزې د کمپیوټر امنیت کې د آسکر او گولډن راسبیري سره مساوي ګڼل کیږي.
اصلي ګټونکي (د کاندیدانو لیست):
- د امتیازاتو د زیاتوالي زیانمنتیا غوره. بریا Qualys ته د سوډو یوټیلیټ کې د CVE-2021-3156 زیان مننې پیژندلو لپاره ورکړل شوې ، کوم چې د ریښو امتیازاتو ترلاسه کولو ته اجازه ورکوي. زیانمنتیا د شاوخوا 10 کلونو لپاره په کوډ کې شتون لري او د دې حقیقت لپاره د پام وړ دی چې د دې پیژندلو لپاره د کارونې منطق بشپړ تحلیل ته اړتیا وه.
- د سرور غوره بګ. د شبکې خدماتو کې د خورا تخنیکي پلوه پیچلي او په زړه پورې بګ پیژندلو او کارولو لپاره جایزه ورکړل شوه. دا جایزه د مایکروسافټ ایکسچینج کې د نوي برید ویکتور پیژندلو لپاره ورکړل شوه. پدې ټولګي کې ټولې زیان منونکي نه دي خپاره شوي، مګر معلومات دمخه په CVE-2021-26855 (ProxyLogon) کې افشا شوي، کوم چې د تصدیق پرته د خپل سري کارونکي ډیټا استخراج ته اجازه ورکوي، او CVE-2021-27065، کوم چې د دودیز کوډ اجرا کولو ته اجازه ورکوي. سرور د مدیر حقونو سره.
- غوره کریپټوګرافیک برید. د حقیقي نړۍ سیسټمونو، پروتوکولونو، او کوډ کولو الګوریتمونو کې د خورا مهمو نیمګړتیاوو پیژندلو لپاره جایزه ورکړل شوه. دا جایزه مایکروسافټ ته د ایلیپټیک منحني ډیجیټل لاسلیکونو پلي کولو کې د زیان منونکي (CVE-2020-0601) لپاره ورکړل شوه چې شخصي کیلي یې د عامه کیلي څخه تولیدولو ته اجازه ورکړه. دې مسلې د HTTPS او جعلي ډیجیټل لاسلیکونو لپاره د جعلي TLS سندونو رامینځته کولو ته اجازه ورکړه چې په کې تایید شوي وو. Windows د باور وړ په توګه.
- ډیری نوښتګر څیړنه. دا جایزه هغو څیړونکو ته ورکړل شوه چې د پروسیسر لخوا د لارښوونو د قیاس اجرا کولو په پایله کې د اړخ چینل لیکونو په کارولو سره د پتې تصادفي پراساس (ASLR) محافظت څخه تیرولو لپاره د BlindSide میتود وړاندیز کړی.
- تر ټولو زیات ایپیک ناکام شو. مایکروسافټ ته د چاپ محصول سیسټم کې د PrintNightmare زیان مننې (CVE-2021-34527) لپاره د څو، غیر فعال حل لپاره جایزه ورکړل شوه. Windows، د کوډ اجرا کولو ته اجازه ورکوي. مایکروسافټ په پیل کې دا مسله سیمه ایزه وبلله، مګر وروسته څرګنده شوه چې برید له لرې څخه ترسره کیدی شي. مایکروسافټ بیا څلور تازه معلومات خپاره کړل، مګر هر ځل چې حل یوازې یو ځانګړی مسله حل کړه، او څیړونکو د برید ترسره کولو لپاره یوه نوې لاره وموندله.
- د پیرودونکي سافټویر کې غوره بګ. ګټونکی هغه څیړونکی و چې د خوندي سامسنګ کریپټو پروسیسرونو کې د CVE-2020-28341 زیان منونکي پیژندل شوي چې د CC EAL 5+ امنیت سند ترلاسه کړی. زیانمنتیا دا امکان رامینځته کړی چې په بشپړ ډول محافظت تیر کړي او په چپ کې اجرا شوي کوډ ته لاسرسی ومومي او په انکلیو کې زیرمه شوي ډیټا ، د سکرین سیور لاک بای پاس کړي ، او د پټ شاته دروازې رامینځته کولو لپاره فرم ویئر کې بدلونونه هم رامینځته کړي.
- د ډیر کم اټکل شوي زیان مننې جایزه: کوالیز ته په بریښنالیک کې د 21 نیلز لړۍ زیان منونکو کشفولو لپاره جایزه ورکړل شوه. سرور ایکسیم، چې ۱۰ یې له لرې څخه کارول کیدی شي. د ایکسیم پراختیا کونکي د استحصال امکان په اړه شکمن وو او د اصلاحاتو په پراختیا کې یې له شپږو میاشتو څخه ډیر وخت تیر کړ.
- د تولید کونکي خورا لیمر عکس العمل (د لامسټ پلورونکي غبرګون). په خپل محصول کې د زیان مننې راپور ته د خورا نامناسب ځواب لپاره نومول. ګټونکی Cellebrite و، یو شرکت چې د قانون پلي کولو لپاره عدلي تحلیل او د معلوماتو کان کیندنې غوښتنلیکونه جوړوي. سیلیبرایټ د سیګنال پروتوکول لیکوال ، موکسی مارلینسپیک لخوا پوسټ شوي زیان منونکي راپور ته په نامناسب ډول ځواب ورکړ. موکسسي د یوې ټیکنالوژۍ رامینځته کولو په اړه د میډیا مقالې وروسته له سیلبریټ سره علاقه پیدا کړه چې د کوډ شوي سیګنال پیغامونو هیک کولو ته اجازه ورکوي ، کوم چې وروسته د سیلبریټ ویب پا onه کې په یوه مقاله کې د معلوماتو د غلط تفسیر له امله جعلي وګرځید ، کوم چې وروسته لرې شو (" برید" تلیفون ته فزیکي لاسرسي او د سکرین خلاصولو وړتیا ته اړتیا لري ، د بیلګې په توګه په میسنجر کې د پیغامونو لیدو ته کم شوی ، مګر په لاسي ډول نه ، مګر د ځانګړي غوښتنلیک کارول چې د کارونکي عملونه سموي).
موکسسي د سیلبریټ غوښتنلیکونه مطالعه کړل او هلته یې جدي زیانونه وموندل چې د ځانګړي ډیزاین شوي ډیټا سکین کولو هڅه کولو پرمهال د خپل سري کوډ اجرا کولو ته اجازه ورکړه. د Cellebrite غوښتنلیک هم وموندل شو چې د زاړه ffmpeg کتابتون په کارولو سره چې د 9 کلونو لپاره نه دی تازه شوی او لوی شمیر ناپیل شوي زیانونه لري. د ستونزو د منلو او حل کولو پرځای، Celebrite یو بیان خپور کړ چې دا د کاروونکي ډیټا بشپړتیا ته پاملرنه کوي، په مناسبه کچه د خپلو محصولاتو امنیت ساتي، منظم تازه معلومات خپروي او د خپل ډول غوره غوښتنلیکونه وړاندې کوي.
- ستره لاسته راوړنه. دا جایزه د IDA تحلیل کونکي لیکوال او د هیکس-رایز ډیکمپیلر لیکوال ایلفاک ګیلفانوف ته د امنیت څیړونکو لپاره د وسیلو په پراختیا کې د هغه د ونډې او د 30 کلونو لپاره د محصول تازه ساتلو وړتیا لپاره ورکړل شوې.
سرچینه: opennet.ru
