- Escalonamento local de privilégios no Ubuntu Desktop explorando uma vulnerabilidade no kernel Linux associada à verificação incorreta de valores de entrada (prêmio US$ 30);
- Demonstração de saída do ambiente convidado no VirtualBox e execução de código com direitos de hipervisor, explorando duas vulnerabilidades - capacidade de ler dados de uma área fora do buffer alocado e erro ao trabalhar com variáveis não inicializadas (prêmio de 40 mil dólares). Fora da competição, representantes da Zero Day Initiative também demonstraram outro hack do VirtualBox, que permite acesso ao sistema host por meio de manipulações no ambiente convidado;
- Hackeando o Safari com privilégios elevados para o nível do kernel do macOS e executando a calculadora como root. Para exploração foi utilizada uma cadeia de 6 erros (prêmio 70 mil dólares);
- Duas demonstrações de escalonamento de privilégios locais em Windows através da exploração de vulnerabilidades que levam ao acesso a uma área de memória já libertada (dois prémios de 40 mil dólares cada);
- Obter acesso de administrador no Windows ao abrir um documento PDF especialmente projetado no Adobe Reader. O ataque envolve vulnerabilidades no Acrobat e no kernel do Windows relacionadas ao acesso a áreas de memória já liberadas (prêmio de US$ 50).
As indicações para hackear Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office e Microsoft Windows RDP permaneceram não reclamadas. Foi feita uma tentativa de hackear o VMware Workstation, mas sem sucesso.
Como no ano passado, as categorias de prêmios não incluíram hacks da maioria dos projetos de código aberto (nginx, OpenSSL, Apache httpd).
Separadamente, podemos observar o tópico de hackear os sistemas de informação de um carro Tesla. Não houve tentativas de hackear Tesla na competição, apesar do prêmio máximo de US$ 700 mil, mas separadamente
Fonte: opennet.ru