سالياني Pwnie اوارڊ 2021 جي فاتحن جو اعلان ڪيو ويو آهي، ڪمپيوٽر جي سيڪيورٽي ۾ سڀ کان اهم ڪمزورين ۽ غير معمولي ناڪامين کي اجاگر ڪندي. Pwnie Awards کي ڪمپيوٽر سيڪيورٽي جي شعبي ۾ آسڪرز ۽ گولڊن راسبريز جي برابر سمجهيو ويندو آهي.
مکيه فاتح (مقابلي ڪندڙن جي فهرست):
- بھترين ڪمزوري جيڪا استحقاق جي واڌاري جي ڪري ٿي. Sudo يوٽيلٽي ۾ CVE-2021-3156 جي خطري جي نشاندهي ڪرڻ تي Qualys کي فتح ڏني وئي، جيڪا توهان کي روٽ مراعات حاصل ڪرڻ جي اجازت ڏئي ٿي. ضعيف 10 سالن تائين ڪوڊ ۾ موجود هو ۽ اهو قابل ذڪر آهي ته ان کي سڃاڻڻ لاءِ استعمال جي منطق جي مڪمل تجزيو جي ضرورت آهي.
- بهترين سرور بگ. نيٽ ورڪ سروس ۾ سڀ کان وڌيڪ ٽيڪنيڪل پيچيده ۽ دلچسپ بگ جي سڃاڻپ ۽ استحصال لاءِ انعام ڏنو ويو. Microsoft ايڪسچينج تي هڪ نئين حملي جي ویکٹر جي سڃاڻپ ڪرڻ تي فتح سان نوازيو ويو. هن طبقي جي سڀني خطرن جي باري ۾ معلومات شايع نه ڪئي وئي آهي، پر معلومات اڳ ۾ ئي ظاهر ڪئي وئي آهي خطرات جي باري ۾ CVE-2021-26855 (ProxyLogon)، جيڪو توهان کي اجازت ڏئي ٿو بغير ڪنهن تصديق جي بغير صارف جي ڊيٽا کي ڪڍڻ جي، ۽ CVE-2021-27065. ، جيڪو توهان جي ڪوڊ کي سرور تي منتظم جي حقن سان گڏ ڪرڻ ممڪن بڻائي ٿو.
- بهترين cryptographic حملو. حقيقي سسٽم، پروٽوڪول ۽ انڪرپشن الگورتھم ۾ سڀ کان اهم خال جي سڃاڻپ لاء انعام ڏني وئي. ايوارڊ مائيڪروسافٽ کي هڪ ڪمزوري (CVE-2020-0601) لاءِ ڏنو ويو آهي ڊجيٽل دستخطن تي عمل درآمد ۾ ايليپيٽڪ وکر جي بنياد تي، جيڪا اجازت ڏئي ٿي عوامي چابين جي بنياد تي پرائيويٽ ڪيز ٺاهي. مسئلو HTTPS ۽ جعلي ڊجيٽل دستخطن لاءِ جعلي TLS سرٽيفڪيٽن جي ٺاھڻ جي اجازت ڏني وئي جيڪي ونڊوز پاران قابل اعتبار طور تي تصديق ٿيل آھن.
- سڀ کان وڌيڪ جديد تحقيق. انعام انهن محققن کي ڏنو ويو جن BlindSide طريقو تجويز ڪيو ايڊريس بيسڊ رينڊمائيزيشن (ASLR) تحفظ کي بائي پاس ڪرڻ لاءِ سائڊ چينل ليڪس استعمال ڪندي هدايتن جي قياس آرائي واري پروسيسر جي عمل جي نتيجي ۾.
- سڀ کان وڏي ناڪامي (سڀ کان وڏي ناڪامي). اهو انعام Microsoft کي ونڊوز پرنٽنگ سسٽم ۾ PrintNightmare vulnerability (CVE-2021-34527) لاءِ بار بار ٽوٽل فڪس جاري ڪرڻ تي ڏنو ويو جيڪو ڪوڊ تي عمل ڪرڻ جي اجازت ڏئي ٿو. Microsoft شروعاتي طور تي مسئلي کي مقامي طور تي نشانو بڻايو، پر پوء اهو ظاهر ٿيو ته حملو ريموٽ ٿي سگهي ٿو. ان کان پوء Microsoft چار ڀيرا اپڊيٽ شايع ڪيا، پر هر ڀيري فيڪس صرف هڪ خاص ڪيس بند ڪيو ۽ محققن کي حملو ڪرڻ لاء هڪ نئون رستو مليو.
- ڪلائنٽ سافٽ ويئر ۾ بهترين بگ. فاتح اهو محقق هو جنهن CVE-2020-28341 جي نشاندهي ڪئي سامسنگ جي محفوظ cryptoprocessors ۾، جنهن هڪ CC EAL 5+ سيڪيورٽي سرٽيفڪيٽ حاصل ڪيو. خطري کي مڪمل طور تي سيڪيورٽي کي نظرانداز ڪرڻ ۽ انڪليو ۾ ذخيرو ٿيل چپ ۽ ڊيٽا تي هلندڙ ڪوڊ تائين رسائي حاصل ڪرڻ، اسڪرين سيور لاڪ کي بائي پاس ڪرڻ، ۽ لڪيل پٺتي پيل دروازو ٺاهڻ لاءِ فرم ویئر ۾ تبديليون پڻ ممڪن ڪيون.
- سڀ کان وڌيڪ گهٽتائي جو اندازو لڳايو ويو آهي. ايوارڊ Qualys کي ايگزم ميل سرور ۾ 21Nails vulnerabilities جي هڪ سيريز جي نشاندهي ڪرڻ تي ڏنو ويو، جن مان 10 کي پري کان استعمال ڪري سگهجي ٿو. Exim ڊولپرز کي شڪ هو ته مسئلن جو استحصال ڪري سگهجي ٿو ۽ 6 مهينن کان وڌيڪ خرچ ڪري سگهجي ٿو.
- Lamest وينڊر جواب. توهان جي پنهنجي پراڊڪٽ ۾ نقصان جي باري ۾ هڪ پيغام جي سڀ کان وڌيڪ غير مناسب جواب لاء نامزدگي. فاتح Cellebrite هو، هڪ ڪمپني جيڪا قانون لاڳو ڪندڙ ادارن پاران فارنسڪ تجزيي ۽ ڊيٽا ڪڍڻ لاء ايپليڪيشن ٺاهي ٿي. Cellebrite، سگنل پروٽوڪول جي ليکڪ، Moxie Marlinspike پاران موڪليل هڪ خطري جي رپورٽ جو مناسب جواب نه ڏنو. Moxey Celebrite ۾ دلچسپي پيدا ٿيڻ کانپوءِ ميڊيا ۾ هڪ نوٽ جي اشاعت کان پوءِ هڪ ٽيڪنالوجي جي تخليق بابت جيڪا اجازت ڏئي ٿي هيڪنگ انڪرپٽ سگنل پيغامن کي، جيڪو بعد ۾ غلط ثابت ٿيو Cellebrite ويب سائيٽ تي هڪ مضمون ۾ معلومات جي غلط تشريح جي ڪري، جيڪو هو. پوءِ هٽايو ويو ("حملو" کي فون تائين جسماني رسائي جي ضرورت آهي ۽ لاڪ اسڪرين کي هٽائڻ جي صلاحيت، يعني اهو ميسينجر ۾ پيغام ڏسڻ لاءِ گهٽجي ويو، پر دستي طور تي نه، پر هڪ خاص ايپليڪيشن استعمال ڪندي جيڪا صارف جي عملن کي نقل ڪري ٿي).
Moxey Cellebrite ايپليڪيشنن جو اڀياس ڪيو ۽ اتي نازڪ ڪمزوريون ڏٺائين جيڪي خاص طور تي ٺهيل ڊيٽا کي اسڪين ڪرڻ جي ڪوشش ڪرڻ وقت صوابديدي ڪوڊ تي عمل ڪرڻ جي اجازت ڏين ٿيون. Cellebrite ايپليڪيشن هڪ پراڻي ffmpeg لائبريري استعمال ڪندي پڻ ملي هئي جيڪا 9 سالن تائين اپڊيٽ نه ڪئي وئي هئي ۽ ان ۾ وڏي تعداد ۾ اڻڄاتل خطرات شامل هئا. مسئلن کي تسليم ڪرڻ ۽ مسئلن کي حل ڪرڻ بدران، Cellebrite هڪ بيان جاري ڪيو ته اهو صارف جي ڊيٽا جي سالميت جو خيال رکي ٿو، پنهنجي پروڊڪٽس جي حفاظت کي مناسب سطح تي برقرار رکي ٿو، باقاعده اپڊيٽ جاري ڪري ٿو ۽ پنهنجي قسم جي بهترين ايپليڪيشنن کي فراهم ڪري ٿو.
- سڀ کان وڏي ڪاميابي. انعام ڏنو ويو Ilfak Gilfanov، ليکڪ جي IDA disassembler ۽ Hex-Rays decompiler، سيڪيورٽي محققن لاءِ اوزارن جي ترقي ۾ سندس تعاون ۽ 30 سالن تائين جديد پراڊڪٽ کي برقرار رکڻ جي صلاحيت لاءِ.
جو ذريعو: opennet.ru