CanSecWest மாநாட்டின் ஒரு பகுதியாக ஆண்டுதோறும் நடத்தப்படும் Pwn2Own 2021 போட்டியின் மூன்று நாட்களின் முடிவுகள் சுருக்கப்பட்டுள்ளன. கடந்த ஆண்டைப் போலவே, போட்டியும் கிட்டத்தட்ட நடத்தப்பட்டது மற்றும் தாக்குதல்கள் ஆன்லைனில் நிரூபிக்கப்பட்டன. 23 இலக்கு இலக்குகளில், உபுண்டு டெஸ்க்டாப், விண்டோஸ் 10, குரோம், சஃபாரி, பேரலல்ஸ் டெஸ்க்டாப், மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச், மைக்ரோசாஃப்ட் டீம்கள் மற்றும் ஜூம் ஆகியவற்றிற்கு முன்னர் அறியப்படாத பாதிப்புகளைப் பயன்படுத்துவதற்கான வேலை நுட்பங்கள் நிரூபிக்கப்பட்டன. எல்லா சந்தர்ப்பங்களிலும், கிடைக்கக்கூடிய அனைத்து புதுப்பிப்புகளும் உட்பட நிரல்களின் சமீபத்திய பதிப்புகள் சோதிக்கப்பட்டன. செலுத்தப்பட்ட மொத்த தொகை ஒரு மில்லியன் இருநூறாயிரம் அமெரிக்க டாலர்கள் (மொத்த பரிசு நிதி ஒன்றரை மில்லியன் டாலர்கள்).
போட்டியில், உபுண்டு டெஸ்க்டாப்பில் உள்ள பாதிப்புகளைப் பயன்படுத்த மூன்று முயற்சிகள் மேற்கொள்ளப்பட்டன. முதல் மற்றும் இரண்டாவது முயற்சிகள் செல்லுபடியாகும் மற்றும் தாக்குபவர்கள், பஃபர் ஓவர்ஃப்ளோ மற்றும் இரட்டை இலவச நினைவகம் (சிக்கலின் கூறுகள் இன்னும் தெரிவிக்கப்படவில்லை; டெவலப்பர்கள் சரி செய்ய 90 நாட்கள் அவகாசம் கொடுக்கப்பட்டுள்ளது. தரவை வெளிப்படுத்தும் முன் பிழைகள்). இந்த பாதிப்புகளுக்கு $30 போனஸ் வழங்கப்பட்டது.
உள்ளூர் சிறப்புரிமை துஷ்பிரயோகம் பிரிவில் மற்றொரு குழு செய்த மூன்றாவது முயற்சி ஓரளவு மட்டுமே வெற்றி பெற்றது - சுரண்டல் வேலை செய்து ரூட் அணுகலைப் பெறுவதை சாத்தியமாக்கியது, ஆனால் பாதிப்புடன் தொடர்புடைய பிழை ஏற்கனவே அறியப்பட்டதால், தாக்குதல் முழுமையாக வரவு வைக்கப்படவில்லை. உபுண்டு டெவலப்பர்களுக்கு மற்றும் ஒரு திருத்தத்துடன் கூடிய புதுப்பிப்பு தயார் நிலையில் இருந்தது.
Chromium இன்ஜின் - கூகுள் குரோம் மற்றும் மைக்ரோசாஃப்ட் எட்ஜ் அடிப்படையிலான உலாவிகளுக்கும் வெற்றிகரமான தாக்குதல் நிரூபிக்கப்பட்டது. குரோம் மற்றும் எட்ஜில் சிறப்பாக வடிவமைக்கப்பட்ட பக்கத்தைத் திறக்கும்போது உங்கள் குறியீட்டை இயக்க அனுமதிக்கும் சுரண்டலை உருவாக்குவதற்கு (ஒரு உலகளாவிய சுரண்டல் இரண்டு உலாவிகளுக்கு உருவாக்கப்பட்டது), 100 ஆயிரம் டாலர்கள் பரிசு வழங்கப்பட்டது. பிழைத்திருத்தம் வரவிருக்கும் மணிநேரங்களில் வெளியிட திட்டமிடப்பட்டுள்ளது, இதுவரை அறியப்பட்டதெல்லாம், வலை உள்ளடக்கத்தை (ரெண்டரர்) செயலாக்குவதற்குப் பொறுப்பான செயல்பாட்டில் பாதிப்பு உள்ளது.
மற்ற வெற்றிகரமான தாக்குதல்கள்:
- ஜூம் பயன்பாட்டை ஹேக்கிங் செய்ததற்காக $200 ஆயிரம் (பெறுநரின் தரப்பில் எந்த நடவடிக்கையும் தேவையில்லாமல், மற்றொரு பயனருக்கு ஒரு செய்தியை அனுப்புவதன் மூலம் அவரது குறியீட்டை இயக்க முடிந்தது). இந்த தாக்குதலில் ஜூம் மற்றும் விண்டோஸ் இயக்க முறைமையில் மூன்று பாதிப்புகள் பயன்படுத்தப்பட்டன.
- மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்சை ஹேக்கிங் செய்வதற்கு $200 ஆயிரம் (அங்கீகாரத்தைத் தவிர்த்து, நிர்வாகி உரிமைகளைப் பெறுவதற்கு சர்வரில் உள்ள சிறப்புரிமைகள்). வெற்றிகரமான மற்றொரு சுரண்டல் மற்றொரு அணிக்கு நிரூபிக்கப்பட்டது, ஆனால் அதே பிழைகள் ஏற்கனவே முதல் அணியால் பயன்படுத்தப்பட்டதால், இரண்டாவது பரிசு வழங்கப்படவில்லை.
- மைக்ரோசாப்ட் அணிகளை ஹேக்கிங் செய்வதற்கு $200 ஆயிரம் (சேவையகத்தில் குறியீட்டை செயல்படுத்துதல்).
- ஆப்பிள் சஃபாரியைப் பயன்படுத்தியதற்காக $100 ஆயிரம்
- பேரலல்ஸ் டெஸ்க்டாப்பை ஹேக்கிங் செய்வதற்கு $140 ஆயிரம் (மெய்நிகர் இயந்திரத்திலிருந்து வெளியேறுதல் மற்றும் பிரதான கணினியில் குறியீட்டை செயல்படுத்துதல்). மூன்று வெவ்வேறு பாதிப்புகளை பயன்படுத்தி தாக்குதல் நடத்தப்பட்டது - துவக்கப்படாத நினைவக கசிவு, ஸ்டாக் ஓவர்ஃப்ளோ மற்றும் முழு எண் வழிதல்.
- பேரலல்ஸ் டெஸ்க்டாப்பை ஹேக்கிங் செய்ததற்காக தலா 40 ஆயிரம் டாலர்கள் இரண்டு விருதுகள் (ஒரு தர்க்கப் பிழை மற்றும் ஒரு மெய்நிகர் இயந்திரத்தில் உள்ள செயல்கள் மூலம் வெளிப்புற OS இல் குறியீட்டை இயக்க அனுமதித்த ஒரு இடையக வழிதல்).
- Windows 40 இன் மூன்று வெற்றிகரமான சுரண்டல்களுக்கு 10 ஆயிரம் டாலர்கள் மூன்று விருதுகள் (முழு எண் வழிதல், ஏற்கனவே விடுவிக்கப்பட்ட நினைவகத்திற்கான அணுகல் மற்றும் SYSTEM சலுகைகளைப் பெற அனுமதிக்கும் ரேஸ் நிலை).
ஆரக்கிள் விர்ச்சுவல் பாக்ஸை ஹேக் செய்வதற்கான முயற்சிகள் மேற்கொள்ளப்பட்டன, ஆனால் தோல்வியடைந்தன. Firefox, VMware ESXi, Hyper-V கிளையன்ட், MS Office 365, MS SharePoint, MS RDP மற்றும் Adobe Reader ஆகியவற்றை ஹேக்கிங் செய்வதற்கான பரிந்துரைகள் கோரப்படவில்லை. 600 ஆயிரம் டாலர்கள் மற்றும் டெஸ்லா மாடல் 3 காரின் பரிசு இருந்தபோதிலும், டெஸ்லா காரின் தகவல் அமைப்பு ஹேக்கிங் செய்யப்பட்டதை நிரூபிக்க யாரும் தயாராக இல்லை.
ஆதாரம்: opennet.ru