Подведены итоги трёх дней соревнований Pwn2Own 2022, ежегодно проводимых в рамках конференции CanSecWest. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams и Firefox. Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,155,000 долларов США.
На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Одна премия в 40 тысяч долларов была выплачена за демонстрацию локального повышения привилегий в Ubuntu Desktop через эксплуатацию двух проблем, связанных с переполнением буфера и двойным освобождением памяти. Четыре премии, размером 40 тысяч долларов каждая, были выплачены за демонстрацию повышения привилегий через эксплуатацию уязвимостей, связанных с обращением к памяти после её освобождения (Use-After-Free).
ගැටලුවේ නිශ්චිත සංරචක තවමත් වාර්තා කර නොමැත; තරඟයේ නියමයන්ට අනුකූලව, පෙන්නුම් කරන ලද සියලුම දින 0 අවදානම් පිළිබඳ සවිස්තරාත්මක තොරතුරු ප්රකාශයට පත් කරනු ලබන්නේ දින 90 කට පසුව පමණි, ඒවා තුරන් කරන යාවත්කාලීනයන් සකස් කිරීම සඳහා නිෂ්පාදකයින්ට ලබා දෙනු ලැබේ. දුර්වලතා.
වෙනත් සාර්ථක ප්රහාර:
- 100 тысяч долларов за разработку эксплоита к Firefox, позволившего при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе.
- 40 тысяч долларов за демонстрацию эксплоита, использующего переполнение буфера в Oracle Virtualbox для выхода из гостевой системы.
- 50 тысяч долларов за эксплуатацию Apple Safari (переполнение буфера).
- 450 тысяч долларов за взломы Microsoft Teams (разные команды продемонстрировали три взлома с наградой по 150 тысяч за каждый).
- 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию переполнений буфера и повышение своих привилегий в Microsoft Windows 11.
- 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию ошибки в коде проверки доступа для повышения своих привилегий в Microsoft Windows 11.
- 40 тысяч долларов за эксплуатацию целочисленного переполнения для повышения своих привилегий в Microsoft Windows 11.
- 40 тысяч долларов за эксплуатацию уязвимости, связанной с обращением к памяти после её освобождения (Use-After-Free), в Microsoft Windows 11.
- 75 тысяч долларов за демонстрацию атаки на информационно-развлекательную систему автомобиля Telsa Model 3. В эксплоите использовались ошибки, приводящие к переполнению буфера и двойному освобождению памяти, вместе с ранее известной техникой обхода sandbox-изоляции.
Предприняты, но не увенчались успехом, отдельные попытки взлома Microsoft Windows 11 (6 успешных взломов и 1 неудачный), Tesla (1 успешный взлом и 1 неудачный) и Microsoft Teams (3 успешных взлома и 1 неудачный). Заявок на демонстрацию эксплоитов в Google Chrome в этом году не было.
මූලාශ්රය: opennet.ru