CanSecWest සමුළුවේ කොටසක් ලෙස වාර්ෂිකව පවත්වනු ලබන Pwn2Own 2021 තරඟයේ දින තුනක ප්රතිඵල සාරාංශ කර ඇත. පසුගිය වසරේ මෙන්, තරඟය පාහේ පවත්වන ලද අතර ප්රහාර අන්තර්ජාලය හරහා ප්රදර්ශනය කරන ලදී. ඉලක්කගත ඉලක්ක 23න්, Ubuntu Desktop, Windows 10, Chrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams සහ Zoom සඳහා කලින් නොදන්නා දුර්වලතා සූරාකෑමේ ක්රියාකාරී ශිල්පීය ක්රම නිරූපණය කරන ලදී. සෑම අවස්ථාවකදීම, පවතින සියලුම යාවත්කාලීන කිරීම් ඇතුළුව වැඩසටහන් වල නවතම අනුවාදයන් පරීක්ෂා කරන ලදී. ගෙවූ මුළු මුදල ඇමෙරිකානු ඩොලර් මිලියන දෙකකි (මුළු ත්යාග අරමුදල ඩොලර් මිලියන එකහමාරක්).
තරඟයේදී, උබුන්ටු ඩෙස්ක්ටොප් එකේ ඇති දුර්වලතා උපයෝගී කර ගැනීමට උත්සාහයන් තුනක් ගන්නා ලදී. පළමු සහ දෙවන උත්සාහයන් වලංගු වූ අතර බෆර් පිටාර ගැලීම සහ ද්විත්ව නිදහස් මතකය සම්බන්ධ කලින් නොදන්නා දුර්වලතා උපයෝගී කර ගනිමින් ප්රහාරකයින්ට දේශීය වරප්රසාද ඉහළ නැංවීම ප්රදර්ශනය කිරීමට හැකි විය (ගැටළුවේ සංරචක තවමත් වාර්තා වී නොමැත; සංවර්ධකයින්ට නිවැරදි කිරීමට දින 90 ක් ලබා දී ඇත. දත්ත අනාවරණය කිරීමට පෙර දෝෂ). මෙම දුර්වලතා සඳහා ඩොලර් 30 ක බෝනස් ගෙවන ලදී.
ප්රාදේශීය වරප්රසාද අපයෝජන කාණ්ඩයේ තවත් කණ්ඩායමක් විසින් කරන ලද තුන්වන උත්සාහය අර්ධ වශයෙන් සාර්ථක විය - සූරාකෑම ක්රියාත්මක වූ අතර මූල ප්රවේශය ලබා ගැනීමට හැකි විය, නමුත් අවදානමට සම්බන්ධ දෝෂය දැනටමත් දන්නා බැවින් ප්රහාරය සම්පූර්ණයෙන්ම බැර කර නොමැත. Ubuntu සංවර්ධකයින්ට සහ නිවැරදි කිරීමක් සමඟ යාවත්කාලීන කිරීමක් සූදානම් වෙමින් පවතී.
Chromium එන්ජිම මත පදනම් වූ බ්රව්සර් සඳහා සාර්ථක ප්රහාරයක් ද පෙන්නුම් කරන ලදී - Google Chrome සහ Microsoft Edge. ක්රෝම් සහ එජ් හි විශේෂයෙන් නිර්මාණය කරන ලද පිටුවක් විවෘත කිරීමේදී ඔබේ කේතය ක්රියාත්මක කිරීමට ඉඩ සලසන සූරාකෑමක් නිර්මාණය කිරීම සඳහා (එක් විශ්වීය සූරාකෑමක් බ්රව්සර් දෙකක් සඳහා නිර්මාණය කරන ලදී), ඩොලර් 100 ක ත්යාගයක් ගෙවන ලදී. නිවැරදි කිරීම ඉදිරි පැය කිහිපය තුළ ප්රකාශයට පත් කිරීමට සැලසුම් කර ඇත, මෙතෙක් දන්නා සියල්ල වන්නේ වෙබ් අන්තර්ගතය (renderer) සැකසීම සඳහා වගකිව යුතු ක්රියාවලියේ අවදානම පවතින බවයි.
වෙනත් සාර්ථක ප්රහාර:
- Zoom යෙදුම හැක් කිරීම සඳහා ඩොලර් 200 දහසක් (ලබන්නාගේ පැත්තෙන් කිසිදු ක්රියාවක් අවශ්ය නොවී, වෙනත් පරිශීලකයෙකුට පණිවිඩයක් යැවීමෙන් ඔහුගේ කේතය ක්රියාත්මක කිරීමට සමත් විය). ප්රහාරය සඳහා Zoom හි දුර්වලතා තුනක් සහ වින්ඩෝස් මෙහෙයුම් පද්ධතියේ එකක් භාවිතා විය.
- Microsoft Exchange අනවසරයෙන් ඇතුළුවීම සඳහා ඩොලර් 200 දහසක් (සත්යාපනය මග හැරීම සහ පරිපාලක අයිතිවාසිකම් ලබා ගැනීම සඳහා සේවාදායකයේ දේශීයව ඉහළ යන වරප්රසාද). සාර්ථක ලෙස ක්රියා කරන තවත් සූරාකෑමක් වෙනත් කණ්ඩායමකට ප්රදර්ශනය කරන ලදී, නමුත් පළමු කණ්ඩායම විසින් එම දෝෂ දැනටමත් භාවිතා කර ඇති බැවින් දෙවන ත්යාගය ගෙවා නොමැත.
- මයික්රොසොෆ්ට් කණ්ඩායම් හැක් කිරීම සඳහා ඩොලර් 200 දහසක් (සේවාදායකයේ කේතය ක්රියාත්මක කිරීම).
- Apple Safari සූරාකෑම සඳහා $100 දහසක් (Safari හි පූර්ණ සංඛ්යා පිටාර ගැලීම සහ වැලිපිල්ල මඟ හැරීමට සහ කර්නල් මට්ටමින් කේතය ක්රියාත්මක කිරීමට macOS කර්නලය තුළ බෆර පිටාර ගැලීම).
- Parallels Desktop අනවසරයෙන් ඇතුළුවීම සඳහා ඩොලර් 140 දහසක් (අථත්ය යන්ත්රයෙන් පිටවීම සහ ප්රධාන පද්ධතියේ කේතය ක්රියාත්මක කිරීම). ප්රහාරය සිදු කරන ලද්දේ විවිධ දුර්වලතා තුනක ප්රයෝජනයෙනි - ආරම්භ නොකළ මතක කාන්දුව, තොග පිටාර ගැලීම සහ පූර්ණ සංඛ්යා පිටාර ගැලීම.
- Parallels Desktop අනවසරයෙන් ඇතුළුවීම සඳහා ඩොලර් 40 බැගින් වූ සම්මාන දෙකක් (තර්කීය දෝෂයක් සහ අථත්ය යන්ත්රයක් තුළ ක්රියා හරහා බාහිර OS එකක කේතය ක්රියාත්මක කිරීමට ඉඩ සලසන බෆර පිටාර ගැලීමක්).
- Windows 40 හි සාර්ථක සූරාකෑම් තුනක් සඳහා ඩොලර් 10 ක සම්මාන තුනක් (පූර්ණ සංඛ්යා පිටාර ගැලීම, දැනටමත් නිදහස් කර ඇති මතකයට ප්රවේශය සහ SYSTEM වරප්රසාද ලබා ගැනීමට ඉඩ සලසන ධාවන තත්වයක්).
Oracle VirtualBox හැක් කිරීමට උත්සාහ කරන ලද නමුත් එය අසාර්ථක විය. Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP සහ Adobe Reader අනවසරයෙන් ඇතුළුවීම සඳහා වන නාමයෝජනා හිමි නොවීය. ඩොලර් 600ක් සහ Tesla Model 3 මෝටර් රථයක ත්යාගය තිබියදීත්, ටෙස්ලා මෝටර් රථයක තොරතුරු පද්ධතියට අනවසරයෙන් ඇතුළු වූ ආකාරය නිරූපණය කිරීමට කිසිවෙකු කැමති නොවීය.
මූලාශ්රය: opennet.ru