2021 වාර්ෂික Pwnie Awards හි ජයග්රාහකයින් ප්රකාශයට පත් කර ඇති අතර, පරිගණක ආරක්ෂාවේ වඩාත්ම වැදගත් දුර්වලතා සහ විකාර අසාර්ථකත්වයන් ඉස්මතු කරයි. Pwnie Awards පරිගණක ආරක්ෂණ ක්ෂේත්රයේ ඔස්කාර් සහ Golden Raspberries සම්මානවලට සමාන එකක් ලෙස සැලකේ.
ප්රධාන ජයග්රාහකයින් (තරඟකරුවන්ගේ ලැයිස්තුව):
- වරප්රසාද උත්සන්න වීමට තුඩු දෙන හොඳම අවදානම. ඔබට මූල වරප්රසාද ලබා ගැනීමට ඉඩ සලසන sudo උපයෝගීතාවයේ CVE-2021-3156 අවදානම හඳුනා ගැනීම සඳහා Qualys වෙත ජයග්රහණය පිරිනමන ලදී. අනාරක්ෂිත බව වසර 10 ක් පමණ කේතය තුළ පැවති අතර එය හඳුනා ගැනීම සඳහා උපයෝගීතාවයේ තර්කනය පිළිබඳ ගැඹුරු විශ්ලේෂණයක් අවශ්ය වීම සැලකිය යුතු කරුණකි.
- හොඳම සේවාදායක දෝෂය. ජාල සේවාවක ඇති තාක්ෂණික වශයෙන් වඩාත් සංකීර්ණ සහ සිත්ගන්නාසුලු දෝෂය හඳුනා ගැනීම සහ සූරාකෑම සඳහා පිරිනමනු ලැබේ. මයික්රොසොෆ්ට් එක්ස්චේන්ජ් හි නව ප්රහාර දෛශිකයක් හඳුනා ගැනීම සඳහා මෙම ජයග්රහණය පිරිනමන ලදී. මෙම පන්තියේ සියලුම දුර්වලතා පිළිබඳ තොරතුරු ප්රකාශයට පත් කර නැත, නමුත් CVE-2021-26855 (ProxyLogon) අවදානම පිළිබඳ තොරතුරු දැනටමත් අනාවරණය කර ඇත, එය ඔබට සත්යාපනයකින් තොරව අත්තනෝමතික පරිශීලකයෙකුගේ දත්ත උකහා ගැනීමට ඉඩ සලසයි, සහ CVE-2021-27065 , පරිපාලක අයිතිවාසිකම් සහිත සේවාදායකයක ඔබගේ කේතය ක්රියාත්මක කිරීමට හැකි වේ.
- හොඳම ගුප්ත ලේඛන ප්රහාරය. සැබෑ පද්ධති, ප්රොටෝකෝල සහ සංකේතාංකන ඇල්ගොරිතමවල වඩාත්ම සැලකිය යුතු හිඩැස් හඳුනා ගැනීම සඳහා ප්රදානය කෙරේ. පොදු යතුරු මත පදනම්ව පුද්ගලික යතුරු ජනනය කිරීමට ඉඩ සලසන ඉලිප්සීය වක්ර මත පදනම් වූ ඩිජිටල් අත්සන් ක්රියාත්මක කිරීමේ අවදානමක් (CVE-2020-0601) සඳහා Microsoft වෙත මෙම සම්මානය පිරිනමන ලදී. HTTPS සඳහා ව්යාජ TLS සහතික සෑදීමට සහ Windows විසින් විශ්වාසදායක ලෙස තහවුරු කරන ලද ව්යාජ ඩිජිටල් අත්සන් සෑදීමට මෙම ගැටලුව ඉඩ ලබා දුන්නේය.
- මෙතෙක් සිදු වූ වඩාත්ම නව්ය පර්යේෂණ. උපදේශන අනුමාන ප්රොසෙසර ක්රියාත්මක කිරීමේ ප්රතිඵලයක් ලෙස පැති නාලිකා කාන්දුවීම් භාවිතයෙන් ලිපින මත පදනම් වූ සසම්භාවීකරණය (ASLR) ආරක්ෂාව මඟ හැරීම සඳහා BlindSide ක්රමය යෝජනා කළ පර්යේෂකයන්ට ත්යාගය පිරිනමන ලදී.
- විශාලතම අසාර්ථකත්වය (Most Epic FAIL). කේත ක්රියාත්මක කිරීමට ඉඩ සලසන Windows මුද්රණ පද්ධතියේ PrintNightmare අවදානම් (CVE-2021-34527) සඳහා බිඳුණු විසඳුමක් නැවත නැවතත් නිකුත් කිරීම සඳහා මයික්රොසොෆ්ට් වෙත මෙම සම්මානය පිරිනමන ලදී. මයික්රොසොෆ්ට් මුලදී ගැටලුව දේශීය ලෙස සලකුණු කළ නමුත් පසුව ප්රහාරය දුරස්ථව සිදු කළ හැකි බව පෙනී ගියේය. ඉන්පසු මයික්රොසොෆ්ට් යාවත්කාලීන කිරීම් හතර වතාවක් ප්රකාශයට පත් කළ නමුත් සෑම අවස්ථාවකදීම නිවැරදි කිරීම විශේෂ අවස්ථාවක් වසා දැමූ අතර පර්යේෂකයන් ප්රහාරය සිදු කිරීමට නව ක්රමයක් සොයා ගත්හ.
- සේවාදායක මෘදුකාංගයේ හොඳම දෝෂය. ජයග්රාහකයා වූයේ CC EAL 2020+ ආරක්ෂක සහතිකයක් ලැබුණු Samsung ආරක්ෂිත ක්රිප්ටොප්රොසෙසරවල CVE-28341-5 අවදානම හඳුනා ගත් පර්යේෂකයායි. අනාරක්ෂිතභාවය නිසා ආරක්ෂාව සම්පූර්ණයෙන් මගහැර චිපයේ ක්රියාත්මක වන කේතයට ප්රවේශය ලබා ගැනීමට සහ එන්ක්ලේව්හි ගබඩා කර ඇති දත්තවලට ප්රවේශ වීමට, තිර සුරැකුම් අගුල මඟ හැරීමට සහ සැඟවුණු පසු දොරක් සෑදීමට ස්ථිරාංගවල වෙනස්කම් කිරීමට හැකි විය.
- වඩාත්ම අවතක්සේරු කරන ලද අවදානම. Exim තැපැල් සේවාදායකයේ 21 Nails දුර්වලතා මාලාවක් හඳුනා ගැනීම සඳහා Qualys වෙත මෙම සම්මානය පිරිනමන ලද අතර ඉන් 10ක් දුරස්ථව භාවිතා කළ හැකිය. එක්සිම් සංවර්ධකයින් ගැටළු සූරාකෑමට ලක්විය හැකි බවට සැක පහළ කළ අතර නිවැරදි කිරීම් සංවර්ධනය කිරීමට මාස 6ක් ගත විය.
- Lamest Vendor ප්රතිචාරය. ඔබේම නිෂ්පාදනයේ අවදානමක් පිළිබඳ පණිවිඩයකට වඩාත්ම ප්රමාණවත් නොවන ප්රතිචාරයක් සඳහා නම් කිරීම. ජයග්රාහකයා වූයේ නීති බලාත්මක කිරීමේ ආයතන විසින් අධිකරණ වෛද්ය විශ්ලේෂණය සහ දත්ත ලබා ගැනීම සඳහා යෙදුම් නිර්මාණය කරන සමාගමක් වන Cellebrite ය. සිග්නල් ප්රොටෝකෝලයේ කතුවරයා වන මොක්සි මාර්ලින්ස්පයික් විසින් එවන ලද අවදානම් වාර්තාවකට සෙලෙබ්රයිට් ප්රමාණවත් ලෙස ප්රතිචාර දැක්වූයේ නැත. සංකේතාත්මක සංඥා පණිවිඩ හැක් කිරීමට ඉඩ සලසන තාක්ෂණයක් නිර්මාණය කිරීම පිළිබඳ සටහනක් මාධ්යයේ පළ කිරීමෙන් පසුව Moxey Cellebrite ගැන උනන්දු විය, පසුව Cellebrite වෙබ් අඩවියේ ලිපියක තොරතුරු වැරදි ලෙස අර්ථකථනය කිරීම හේතුවෙන් එය ව්යාජ එකක් බවට පත් විය. පසුව ඉවත් කරන ලදී ("ප්රහාරය" දුරකථනයට භෞතික ප්රවේශය සහ අගුළු තිරය ඉවත් කිරීමේ හැකියාව අවශ්ය වේ, එනම් එය පණිවිඩකරු තුළ පණිවිඩ බැලීම දක්වා අඩු කරන ලදී, නමුත් අතින් නොව, පරිශීලක ක්රියාවන් අනුකරණය කරන විශේෂ යෙදුමක් භාවිතා කරමින්).
Moxey Cellebrite යෙදුම් අධ්යයනය කළ අතර විශේෂයෙන් නිර්මාණය කරන ලද දත්ත පරිලෝකනය කිරීමට උත්සාහ කරන විට අත්තනෝමතික කේතය ක්රියාත්මක කිරීමට ඉඩ සලසන තීරණාත්මක දුර්වලතා සොයා ගත්තේය. Cellebrite යෙදුම වසර 9 ක් තිස්සේ යාවත්කාලීන නොකළ සහ නොගැලපෙන දුර්වලතා විශාල සංඛ්යාවක් අඩංගු යල් පැන ගිය ffmpeg පුස්තකාලයක් භාවිතා කරන බව ද සොයා ගන්නා ලදී. ගැටළු පිළිගැනීම සහ ගැටළු නිරාකරණය කිරීම වෙනුවට, Cellebrite ප්රකාශයක් නිකුත් කළේ එය පරිශීලක දත්තවල අඛණ්ඩතාව ගැන සැලකිලිමත් වන බවත්, එහි නිෂ්පාදනවල ආරක්ෂාව නිසි මට්ටමින් පවත්වා ගෙන යන බවත්, නිතිපතා යාවත්කාලීන කිරීම් නිකුත් කරන සහ එවැනි ආකාරයේ හොඳම යෙදුම් ලබා දෙන බවත්ය.
- විශාලතම ජයග්රහණය. IDA disassembler සහ Hex-Rays decompiler හි කතුවරයා වන Ilfak Gilfanov හට මෙම ත්යාගය පිරිනමනු ලැබුවේ, ආරක්ෂක පර්යේෂකයන් සඳහා මෙවලම් සංවර්ධනය කිරීම සඳහා සහ වසර 30ක් පුරා යාවත්කාලීන නිෂ්පාදනයක් පවත්වා ගැනීමට ඔහුට ඇති හැකියාව වෙනුවෙන්.
මූලාශ්රය: opennet.ru