ProHoster > Blog > warta internét > Hacks dipintonkeun di Pwn2Own 2020 Ubuntu, Windows, macOS sareng VirtualBox

Hacks dipintonkeun di Pwn2Own 2020 Ubuntu, Windows, macOS sareng VirtualBox

Puragkeun Hasil tina kompetisi Pwn2Own 2020 salami dua dinten, anu diayakeun unggal taun salaku bagian tina konferensi CanSecWest. Taun ieu, kompetisi diayakeun sacara virtual, sareng serangan éta dipidangkeun sacara online. Kompetisi ieu nampilkeun téknik kerja pikeun ngamangpaatkeun kerentanan anu sateuacanna teu dipikanyaho dina Ubuntu Desktop (inti Linux), Windows, macOS, Safari, VirtualBox, sareng Adobe Reader. Total hadiahna nyaéta $270. diwangun ku leuwih ti 4 juta dollar AS).

  • Eskalasi Hak Istimewa Lokal di Ubuntu Desktop ngaliwatan eksploitasi kerentanan kernel Linux, aya patalina jeung validasi nilai input anu salah (hadiah: $30);
  • Demonstrasi kaluar tina lingkungan tamu di VirtualBox jeung executing kode kalawan hak hypervisor, exploiting dua vulnerabilities - kamampuhan pikeun maca data ti wewengkon luar panyangga disadiakeun jeung kasalahan nalika gawé bareng variabel uninitialized (hadiah 40 sarébu dollar). Di luar kompetisi, wawakil Zero Day Initiative ogé nunjukkeun hack VirtualBox anu sanés, anu ngamungkinkeun aksés kana sistem host ngalangkungan manipulasi di lingkungan tamu;


    Muterkeun video

  • Hack éskalasi hak istimewa kernel Safari macOS sareng ngajalankeun kalkulator kalayan hak akses root. Sarangkaian genep bug dianggo pikeun dieksploitasi (hadiah: $70.000);
  • Dua demonstrasi anu ngadorong paningkatan hak istimewa lokal di Windows ngaliwatan éksploitasi kerentanan anu ngarah kana aksés ka daérah mémori anu parantos dibébaskeun (dua hadiah 40 rébu dolar);
  • Kéngingkeun aksés administrator dina Windows nalika muka dokumén PDF anu didamel khusus dina Adobe Reader. Serangan éta ngamangpaatkeun kerentanan dina Acrobat sareng kernel. Windows, aya patalina jeung ngaksés area memori anu geus dibébaskeun (hadiah: 50 rébu dolar).

Nominasi pikeun ngaretas Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office sareng Microsoft tetep teu acan diklaim. Windows RDP. Aya usaha pikeun ngabobol VMware Workstation, tapi teu hasil.
Kawas taun ka tukang, kategori hadiah teu kaasup hacks tina mayoritas proyék open source (nginx, OpenSSL, Apache httpd).

Kapisah, urang tiasa nyatet topik hacking sistem informasi mobil Tesla. Teu aya usaha pikeun hack Tesla dina kompetisi, sanaos hadiah maksimal $ 700 rébu, tapi nyalira inpormasi muncul ngeunaan idéntifikasi kerentanan DoS (CVE-2020-10558) dina Tesla Model 3, anu ngamungkinkeun, nalika muka halaman anu dirarancang khusus dina browser anu diwangun, nganonaktipkeun béwara ti autopilot sareng ngaganggu operasi komponén sapertos spedometer, browser, AC, sistem navigasi, jsb.

Muterkeun video

sumber: opennet.ru

Mésér hosting anu dipercaya pikeun situs anu gaduh panyalindungan DDoS, server VPS VDS 🔥 Meser hosting situs wéb anu tiasa dipercaya nganggo panyalindungan DDoS, server VPS VDS | ProHoster