புரோஹோஸ்டர் > Блог > இணைய செய்தி > Pwn2Own 2024 போட்டியில் Ubuntu, Firefox, Chrome, Docker மற்றும் VirtualBox ஆகியவற்றின் ஹேக்குகள் நிரூபிக்கப்பட்டன.

Pwn2Own 2024 போட்டியில் Ubuntu, Firefox, Chrome, Docker மற்றும் VirtualBox ஆகியவற்றின் ஹேக்குகள் நிரூபிக்கப்பட்டன.

வான்கூவரில் நடைபெறும் CanSecWest மாநாட்டின் ஒரு பகுதியாக ஆண்டுதோறும் நடத்தப்படும் Pwn2Own 2024 போட்டியின் இரண்டு நாட்களின் முடிவுகள் சுருக்கப்பட்டுள்ளன. Ubuntu Desktop, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge மற்றும் Tesla ஆகியவற்றுக்கு முன்னர் அறியப்படாத பாதிப்புகளைப் பயன்படுத்துவதற்கான வேலை நுட்பங்கள் உருவாக்கப்பட்டுள்ளன. மொத்தம் 23 வெற்றிகரமான தாக்குதல்கள் நிரூபிக்கப்பட்டன, முன்பு அறியப்படாத 29 பாதிப்புகளை பயன்படுத்திக் கொண்டனர்.

தாக்குதல்கள், கிடைக்கக்கூடிய அனைத்து புதுப்பிப்புகள் மற்றும் இயல்புநிலை உள்ளமைவுகளுடன் பயன்பாடுகள், உலாவிகள் மற்றும் இயக்க முறைமைகளின் சமீபத்திய நிலையான வெளியீடுகளைப் பயன்படுத்தியது. செலுத்தப்பட்ட மொத்த ஊதியத் தொகை USD 1,132,500. டெஸ்லாவை ஹேக்கிங் செய்ததற்காக, கூடுதல் டெஸ்லா மாடல் 3 வழங்கப்பட்டது. கடந்த மூன்று Pwn2Own போட்டிகளுக்கு வழங்கப்பட்ட வெகுமதிகளின் தொகை $3,494,750 ஆகும். அதிக புள்ளிகள் பெற்ற அணி $202 பெற்றது.

Pwn2Own 2024 போட்டியில் Ubuntu, Firefox, Chrome, Docker மற்றும் VirtualBox ஆகியவற்றின் ஹேக்குகள் நிரூபிக்கப்பட்டன.

நிகழ்த்தப்பட்ட தாக்குதல்கள்:

  • உபுண்டு டெஸ்க்டாப்பில் நான்கு வெற்றிகரமான தாக்குதல்கள், சலுகை இல்லாத பயனருக்கு ரூட் உரிமைகளைப் பெற அனுமதிக்கிறது (ஒரு விருது 20 ஆயிரம் மற்றும் 10 ஆயிரம் டாலர்கள், இரண்டு விருதுகள் 5 ஆயிரம் டாலர்கள்). பந்தய நிலைமைகள் மற்றும் இடையக வழிதல் ஆகியவற்றால் பாதிப்புகள் ஏற்படுகின்றன.
  • ஃபயர்பாக்ஸ் மீதான தாக்குதல், சிறப்பாக வடிவமைக்கப்பட்ட பக்கத்தைத் திறக்கும்போது சாண்ட்பாக்ஸ் தனிமைப்படுத்தலைத் தவிர்த்து, கணினியில் குறியீட்டை இயக்குவதை சாத்தியமாக்கியது (விருது 100 ஆயிரம் டாலர்கள்). ஜாவாஸ்கிரிப்ட் பொருளுக்கு ஒதுக்கப்பட்ட இடையக எல்லைக்கு வெளியே உள்ள பகுதிக்கு தரவைப் படிக்கவும் எழுதவும் அனுமதிக்கும் பிழையினால் பாதிப்பு ஏற்படுகிறது, அத்துடன் நிகழ்வு கையாளுபவரை சலுகை பெற்ற ஜாவாஸ்கிரிப்ட் பொருளாக மாற்றுவதற்கான சாத்தியக்கூறு உள்ளது. சூடாக, Mozilla டெவலப்பர்கள் உடனடியாக Firefox 124.0.1 புதுப்பிப்பை வெளியிட்டனர், இது அடையாளம் காணப்பட்ட சிக்கல்களை நீக்குகிறது.
  • Chrome இல் நான்கு தாக்குதல்கள், சிறப்பாக வடிவமைக்கப்பட்ட பக்கத்தைத் திறக்கும்போது கணினியில் குறியீட்டை இயக்க அனுமதித்தது (தலா 85 மற்றும் 60 ஆயிரம் டாலர்கள் ஒரு விருது, 42.5 ஆயிரம் இரண்டு விருதுகள்). இலவசத்திற்குப் பிறகு நினைவக அணுகல், இடையிடையே இல்லாத வாசிப்பு மற்றும் தவறான உள்ளீடு சரிபார்ப்பு ஆகியவற்றால் பாதிப்புகள் ஏற்படுகின்றன. மூன்று சுரண்டல்கள் உலகளாவியவை மற்றும் Chrome இல் மட்டுமல்ல, எட்ஜிலும் வேலை செய்கின்றன.
  • சிறப்பாக வடிவமைக்கப்பட்ட பக்கத்தைத் திறக்கும் போது ($60 விருது) கணினியில் குறியீட்டை செயல்படுத்த அனுமதிக்கும் Apple Safari மீதான தாக்குதல். முழு எண் வழிதல் காரணமாக பாதிப்பு ஏற்படுகிறது.
  • ஆரக்கிள் விர்ச்சுவல்பாக்ஸின் நான்கு ஹேக்குகள் விருந்தினர் அமைப்பிலிருந்து வெளியேறி ஹோஸ்ட் பக்கத்தில் குறியீட்டை இயக்க அனுமதித்தன (ஒரு விருது 90 ஆயிரம் டாலர்கள் மற்றும் மூன்று விருதுகள் 20 ஆயிரம் டாலர்கள்). பஃபர் ஓவர்ஃப்ளோஸ், ரேஸ் நிலைமைகள் மற்றும் இலவசத்திற்குப் பிறகு நினைவக அணுகல் ஆகியவற்றால் ஏற்படும் பாதிப்புகளைப் பயன்படுத்தி தாக்குதல்கள் நடத்தப்பட்டன.
  • தனிமைப்படுத்தப்பட்ட கொள்கலனில் இருந்து தப்பிக்க உங்களை அனுமதித்த டோக்கரின் மீதான தாக்குதல் (60 ஆயிரம் டாலர்கள் விருது). இலவசத்திற்குப் பிறகு நினைவக அணுகலால் பாதிப்பு ஏற்படுகிறது.
  • விருந்தினர் அமைப்பிலிருந்து வெளியேறவும் ஹோஸ்ட் பக்கத்தில் குறியீட்டை இயக்கவும் அனுமதித்த VMWare பணிநிலையத்தில் இரண்டு தாக்குதல்கள். தாக்குதல்கள் இலவசத்திற்குப் பிறகு நினைவக அணுகலைப் பயன்படுத்தியது, ஒரு இடையக வழிதல் மற்றும் தொடங்கப்படாத மாறி ($30 மற்றும் $130 பிரீமியங்கள்).
  • மைக்ரோசாப்ட் விண்டோஸ் 11 இல் ஐந்து தாக்குதல்கள் உங்கள் சலுகைகளை அதிகரிக்க அனுமதித்தன (மூன்று போனஸ் 15 ஆயிரம் டாலர்கள் மற்றும் ஒரு போனஸ் 30 ஆயிரம் மற்றும் 7500 டாலர்கள்). ரேஸ் நிலைமைகள், முழு எண் வழிதல், தவறான குறிப்பு எண்ணுதல் மற்றும் தவறான உள்ளீடு சரிபார்ப்பு ஆகியவற்றால் பாதிப்புகள் ஏற்பட்டன.
  • அடோப் ரீடரில் ($50 ஆயிரம் விருது) உள்ளடக்கத்தைச் செயலாக்கும்போது குறியீடு செயல்படுத்தல். ஏபிஐ கட்டுப்பாடுகளைத் தவிர்க்க அனுமதிக்கும் பாதிப்பையும், கட்டளை மாற்றீட்டை அனுமதிக்கும் பிழையையும் இந்தத் தாக்குதல் பயன்படுத்தியது.
  • ஒரு டெஸ்லா காரின் தகவல் அமைப்பு மீதான தாக்குதல், CAN BUS பேருந்தின் கையாளுதலின் மூலம் மேற்கொள்ளப்பட்டது மற்றும் ஒரு முழு எண் வழிதல் மற்றும் ECU (எலக்ட்ரானிக் கட்டுப்பாட்டு அலகு) அணுகலைப் பெற அனுமதிக்கிறது. விருது 200 ஆயிரம் டாலர்கள் மற்றும் டெஸ்லா மாடல் 3 கார்.
  • மைக்ரோசாப்ட் ஷேர்பாயிண்ட் மற்றும் VMware ESXi ஐ ஹேக் செய்வதற்கான முயற்சிகள் தோல்வியடைந்தன.

சிக்கலின் சரியான கூறுகள் இன்னும் தெரிவிக்கப்படவில்லை; போட்டியின் விதிமுறைகளுக்கு இணங்க, நிரூபிக்கப்பட்ட அனைத்து 0-நாள் பாதிப்புகள் பற்றிய விரிவான தகவல்கள் 90 நாட்களுக்குப் பிறகு மட்டுமே வெளியிடப்படும், அவை உற்பத்தியாளர்களுக்கு வழங்கப்படுகின்றன. பாதிப்புகள்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்