- Локальное повышение привилегий в Ubuntu Desktop через эксплуатацию уязвимости в ядре Linux, связанной с некорректной проверкой входных значений (приз 30 тыс. долларов);
- Демонстрация выхода из гостевого окружения в VirtualBox и выполнения кода с правами гипервизора, эксплуатируя две уязвимости — возможность прочитать данные из области вне выделенного буфера и ошибку при работе с неинициализированными переменными (приз 40 тыс. долларов). Вне конкурса представители Zero Day Initiative также продемонстрировали ещё один взлом VirtualBox, позволяющий через манипуляции в гостевом окружении получить доступ к хост-системе;
- Взлом Safari с повышением привилегий до уровня ядра macOS и запуском калькулятора с правами root. Для эксплуатации использована цепочка из 6 ошибок (приз 70 тыс. долларов);
- Две демонстрации локального повышения привилегий в Windows через эксплуатацию уязвимостей, приводящих к обращению к уже освобождённой области памяти (два приза по 40 тыс. долларов);
- Получение доступа администратора в Windows при открытии специально оформленного PDF-документа в Adobe Reader. При атаке задействованы уязвимости в Acrobat и в ядре Windows, связанные с обращением к уже освобождённым областям памяти (приз 50 тыс. долларов).
Остались невостребованными номинации за взлом Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office и Microsoft Windows RDP. Была предпринята попытка взлома VMware Workstation, но она не увенчалась успехом.
Как и в прошлом году в призовые номинации не вошли взломы большинства открытых проектов (nginx, OpenSSL, Apache httpd).
Отдельно можно отметить тему взлома информационных систем автомобиля Tesla. На соревновании не было предпринято попыток взлома Tesla, несмотря на максимальный размер премии в 700 тысяч долларов, но отдельно
Sursa: opennet.ru