پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > Ubuntu، ونڊوز، macOS ۽ VirtualBox جي هيڪس Pwn2Own 2020 مقابلي ۾ ڏيکاريا ويا

Ubuntu، ونڊوز، macOS ۽ VirtualBox جي هيڪس Pwn2Own 2020 مقابلي ۾ ڏيکاريا ويا

هيٺ ڪرڻ ٻن ڏينهن جي مقابلي جا نتيجا Pwn2Own 2020، هر سال CanSecWest ڪانفرنس جي حصي طور منعقد ڪيا ويا. هن سال مقابلو عملي طور تي منعقد ڪيو ويو ۽ حملن جو مظاهرو آن لائن ڪيو ويو. مقابلي ۾ پيش ڪيل ڪم ڪندڙ ٽيڪنالاجيون اڳ ۾ اڻڄاتل ڪمزورين جي استحصال لاءِ Ubuntu Desktop (Linux kernel)، ونڊوز، macOS، Safari، VirtualBox ۽ Adobe Reader. ادائگي جي ڪل رقم هئي 270 هزار ڊالر (مجموعي انعام فنڊ هو 4 ملين آمريڪي ڊالر کان وڌيڪ).

  • Ubuntu ڊيسڪ ٽاپ ۾ استحقاق جو مقامي واڌارو لينڪس ڪنيل ۾ هڪ ڪمزوري جو استحصال ڪندي ان پٽ ويلز جي غلط تصديق سان لاڳاپيل آهي (انعام $30)؛
  • VirtualBox ۾ مهمان ماحول مان نڪرڻ جو مظاهرو ۽ ڪوڊ تي عمل ڪرڻ هائپر وائيزر جي حقن سان، ٻن ڪمزورين جو استحصال ڪرڻ - مختص ٿيل بفر کان ٻاهر واري علائقي مان ڊيٽا پڙهڻ جي صلاحيت ۽ اڻڄاتل متغيرن سان ڪم ڪرڻ دوران غلطي (40 هزار ڊالر جو انعام). مقابلي کان ٻاهر، Zero Day Initiative جي نمائندن هڪ ٻي VirtualBox هيڪ جو پڻ مظاهرو ڪيو، جيڪو مهمان جي ماحول ۾ ڌانڌلي ذريعي ميزبان سسٽم تائين رسائي جي اجازت ڏئي ٿو؛



  • هيڪنگ سفاري کي اعليٰ مراعات سان macOS ڪنيل ليول تائين ۽ ڪئليڪيوليٽر کي روٽ طور هلائڻ. استحصال لاء، 6 غلطين جو هڪ سلسلو استعمال ڪيو ويو (انعام 70 هزار ڊالر)؛
  • ونڊوز ۾ مقامي استحقاق جي واڌاري جا ٻه مظاهرا ڪمزورين جي استحصال ذريعي جيڪي اڳ ۾ ئي آزاد ٿيل يادگيري واري علائقي تائين پهچن ٿا (هر هڪ 40 هزار ڊالر جا ٻه انعام)؛
  • ايڊوب ريڊر ۾ خاص طور تي ٺهيل PDF دستاويز کي کولڻ دوران ونڊوز ۾ ايڊمنسٽريٽر جي رسائي حاصل ڪرڻ. حملي ۾ Acrobat ۽ Windows kernel ۾ ڪمزوريون شامل آهن جيڪي اڳ ۾ ئي آزاد ٿيل ميموري علائقن تائين رسائي سان لاڳاپيل آهن (انعام $50).

ڪروم، فائر فاڪس، ايج، مائڪروسافٽ هائپر-وي ڪلائنٽ، مائڪروسافٽ آفيس ۽ مائڪروسافٽ ونڊوز آر ڊي پي کي هيڪ ڪرڻ لاءِ نامزدگيون اڻ اعلانيل رهيون. VMware ورڪ اسٽيشن کي هيڪ ڪرڻ جي ڪوشش ڪئي وئي، پر اهو ناڪام ٿيو.
گذريل سال وانگر، انعام جي زمرے ۾ شامل نه ڪيو ويو هيڪس جي اڪثريت اوپن سورس پروجيڪٽ (nginx، OpenSSL، Apache httpd).

الڳ الڳ، اسان هڪ ٽسلا ڪار جي معلوماتي سسٽم کي هيڪ ڪرڻ جو موضوع نوٽ ڪري سگهون ٿا. مقابلي ۾ ٽسلا کي هيڪ ڪرڻ جي ڪا به ڪوشش نه ڪئي وئي، باوجود وڌ ۾ وڌ انعام $700 هزار، پر الڳ الڳ معلومات ظاهر ٿي Tesla Model 2020 ۾ DoS vulnerability (CVE-10558-3) جي سڃاڻپ جي باري ۾، جيڪا اجازت ڏئي ٿي، خاص طور تي ڊزائين ڪيل پيج کي کولڻ وقت، بلٽ ان برائوزر ۾، آٽو پائلٽ کان اطلاعن کي بند ڪرڻ ۽ اجزاء جي آپريشن کي خراب ڪرڻ جهڙوڪ اسپيڊ ميٽر، برائوزر، ايئر ڪنڊيشن، نيويگيشن سسٽم، وغيره.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو