Matokeo ya siku tatu ya shindano la Pwn2Own 2022, linalofanyika kila mwaka kama sehemu ya mkutano wa CanSecWest, yamefupishwa. Mbinu za kufanya kazi za kutumia udhaifu usiojulikana hapo awali zimeonyeshwa kwa Ubuntu Desktop, Virtualbox, Safari, Windows 11, Timu za Microsoft na Firefox. Jumla ya mashambulizi 25 yaliyofaulu yalionyeshwa, na majaribio matatu yalimalizika kwa kutofaulu. Mashambulizi yalitumia matoleo ya hivi punde ya programu, vivinjari na mifumo ya uendeshaji yenye masasisho yote yanayopatikana na usanidi chaguo-msingi. Jumla ya malipo yaliyolipwa yalikuwa USD 1,155,000.
Shindano hili lilionyesha majaribio matano yaliyofaulu ya kutumia udhaifu usiojulikana hapo awali katika Ubuntu Desktop, uliofanywa na timu tofauti za washiriki. Zawadi moja ya $40 ililipwa kwa kuonyesha ongezeko la upendeleo wa ndani katika Ubuntu Desktop kwa kutumia kufurika kwa buffer na masuala mawili ya bure. Tuzo nne, kila moja yenye thamani ya $40, zilitolewa kwa kuonyesha ongezeko la marupurupu kupitia unyonyaji wa udhaifu wa Matumizi-Baada ya Bila Malipo.
Sehemu halisi za shida bado hazijaripotiwa; kulingana na masharti ya shindano, habari ya kina juu ya udhaifu wote ulioonyeshwa wa siku 0 itachapishwa tu baada ya siku 90, ambayo hupewa watengenezaji kuandaa sasisho zinazoondoa udhaifu.
Mashambulizi mengine yaliyofanikiwa:
- Dola 100 kwa ajili ya maendeleo ya unyonyaji kwa Firefox, ambayo iliruhusu, wakati wa kufungua ukurasa maalum, kukwepa kutengwa kwa sanduku la mchanga na kutekeleza nambari kwenye mfumo.
- $40 ili kuonyesha matumizi makubwa ambayo hutumia bafa kufurika katika Oracle Virtualbox ili kuondoka kwa mgeni.
- $50 elfu kwa uendeshaji Apple Safari (buffer kufurika).
- Dola 450 kwa kudukua Timu za Microsoft (timu tofauti zilionyesha hack tatu na zawadi ya elfu 150 kwa kila moja).
- Dola elfu 80 (tuzo mbili za elfu 40 kila moja) kwa kutumia buffer kufurika na kuongeza mapendeleo ya mtu katika Microsoft Windows 11.
- Dola elfu 80 (tuzo mbili za elfu 40 kila moja) kwa kutumia hitilafu kwenye nambari ya uthibitishaji wa ufikiaji ili kuongeza upendeleo wa mtu katika Microsoft Windows 11.
- $40K kwa kutumia utiririshaji kamili ili kuongeza marupurupu katika Microsoft Windows 11.
- $40 kwa kutumia uwezekano wa Matumizi-Baada ya Bila Malipo katika Microsoft Windows 11.
- $75 kwa kuonyesha shambulio kwenye mfumo wa infotainment wa Telsa Model 3. Ujanja ulitumia hitilafu zilizosababisha bafa kufurika na kuachiliwa mara mbili, pamoja na mbinu iliyojulikana hapo awali ya kukwepa kutenganisha kisanduku cha mchanga.
Majaribio tofauti yalifanywa, lakini hayakufaulu, kudukua Microsoft Windows 11 (udukuzi 6 uliofaulu na 1 haukufanikiwa), Tesla (udukuzi 1 uliofaulu na 1 haukufanikiwa) na Timu za Microsoft (udukuzi 3 uliofaulu na 1 haukufanikiwa). Hakukuwa na maombi ya kuonyesha ushujaa katika Google Chrome mwaka huu.
Chanzo: opennet.ru