ProHoster > blogg > internetnyheter > Hack av Ubuntu, Windows, macOS och VirtualBox demonstrerades vid Pwn2Own 2020-tävlingen

Hack av Ubuntu, Windows, macOS och VirtualBox demonstrerades vid Pwn2Own 2020-tävlingen

Svika resultat av två dagars tävlingar Pwn2Own 2020, som hålls årligen som en del av CanSecWest-konferensen. I år hölls tävlingen virtuellt och attackerna demonstrerades online. Tävlingen presenterade arbetstekniker för att utnyttja tidigare okända sårbarheter i Ubuntu Desktop (Linux-kärna), Windows, macOS, Safari, VirtualBox och Adobe Reader. Det totala beloppet av betalningar var 270 tusen dollar (total prisfond var mer än 4 miljoner US-dollar).

  • Lokal eskalering av privilegier i Ubuntu Desktop genom att utnyttja en sårbarhet i Linux-kärnan associerad med felaktig verifiering av indatavärden (pris $30 XNUMX);
  • Demonstration av att lämna gästmiljön i VirtualBox och exekvera kod med hypervisorrättigheter, utnyttja två sårbarheter - förmågan att läsa data från ett område utanför den allokerade bufferten och ett fel när man arbetar med oinitierade variabler (pris 40 tusen dollar). Utanför tävlingen visade representanter för Zero Day Initiative också ett annat VirtualBox-hack, som tillåter åtkomst till värdsystemet genom manipulationer i gästmiljön;



  • Hacka Safari med förhöjda privilegier till macOS kärnnivå och kör kalkylatorn som root. För exploatering användes en kedja av 6 fel (pris 70 tusen dollar);
  • Två demonstrationer av lokal privilegieskalering i Windows genom utnyttjande av sårbarheter som leder till tillgång till ett redan frigjort minnesområde (två priser på 40 tusen dollar vardera);
  • Få administratörsåtkomst i Windows när du öppnar ett specialdesignat PDF-dokument i Adobe Reader. Attacken involverar sårbarheter i Acrobat och Windows-kärnan relaterade till åtkomst av redan frigjorda minnesområden (pris på $50 XNUMX).

Nomineringarna för att hacka Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office och Microsoft Windows RDP förblev outtagna. Ett försök gjordes att hacka VMware Workstation, men det misslyckades.
Liksom förra året inkluderade priskategorierna inte hack av majoriteten av projekt med öppen källkod (nginx, OpenSSL, Apache httpd).

Separat kan vi notera ämnet att hacka informationssystemen i en Tesla-bil. Det gjordes inga försök att hacka Tesla vid tävlingen, trots det maximala priset på $700 tusen, men separat information dök upp om identifiering av en DoS-sårbarhet (CVE-2020-10558) i Tesla Model 3, som gör att man, när man öppnar en specialdesignad sida i den inbyggda webbläsaren, kan inaktivera aviseringar från autopiloten och störa driften av komponenter som t.ex. hastighetsmätaren, webbläsaren, luftkonditioneringen, navigationssystemet osv.

Källa: opennet.ru

Lägg en kommentar