கம்ப்யூட்டர் பாதுகாப்புத் துறையில் மிகவும் குறிப்பிடத்தக்க பாதிப்புகள் மற்றும் அபத்தமான தோல்விகளை எடுத்துக்காட்டி, வருடாந்திர Pwnie விருதுகள் 2021 இன் வெற்றியாளர்கள் தீர்மானிக்கப்பட்டுள்ளனர். Pwnie விருதுகள் கணினி பாதுகாப்பில் ஆஸ்கார் மற்றும் கோல்டன் ராஸ்பெர்ரிக்கு சமமானதாகக் கருதப்படுகிறது.
முக்கிய வெற்றியாளர்கள் (போட்டியாளர்களின் பட்டியல்):
- சிறந்த சலுகை அதிகரிப்பு பாதிப்பு. ரூட் சலுகைகளைப் பெற அனுமதிக்கும் சூடோ பயன்பாட்டில் உள்ள பாதிப்பு CVE-2021-3156 ஐக் கண்டறிந்ததற்காக Qualys க்கு இந்த வெற்றி வழங்கப்பட்டது. இந்த பாதிப்பு சுமார் 10 ஆண்டுகளாக குறியீட்டில் உள்ளது மற்றும் அதை அடையாளம் காண பயன்பாட்டின் தர்க்கத்தின் முழுமையான பகுப்பாய்வு தேவைப்பட்டது என்பது குறிப்பிடத்தக்கது.
- சிறந்த சர்வர் பிழை. நெட்வொர்க் சேவையில் மிகவும் தொழில்நுட்ப ரீதியாக சிக்கலான மற்றும் சுவாரஸ்யமான பிழையைக் கண்டறிந்து பயன்படுத்தியதற்காக வழங்கப்பட்டது. வெற்றியாளருக்கு மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்சில் ஒரு புதிய தாக்குதல் வெக்டரைக் கண்டறிந்ததற்காக வழங்கப்பட்டது. இந்த வகுப்பில் உள்ள அனைத்து பாதிப்புகளும் வெளியிடப்படவில்லை, ஆனால் அங்கீகாரம் இல்லாமல் தன்னிச்சையான பயனர் தரவைப் பிரித்தெடுக்க அனுமதிக்கும் CVE-2021-26855 (ProxyLogon) மற்றும் தனிப்பயன் குறியீட்டை செயல்படுத்த அனுமதிக்கும் CVE-2021-27065 இல் தகவல்கள் ஏற்கனவே வெளியிடப்பட்டுள்ளன. சர்வர் நிர்வாகி உரிமைகளுடன்.
- Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
- மிகவும் புதுமையான ஆராய்ச்சி. செயலியின் ஊகச் செயல்பாட்டின் விளைவாக பக்க-சேனல் கசிவுகளைப் பயன்படுத்தி முகவரி ரேண்டமைசேஷன் அடிப்படையிலான (ASLR) பாதுகாப்பைத் தவிர்ப்பதற்கான BlindSide முறையை முன்மொழிந்த ஆராய்ச்சியாளர்களுக்கு விருது வழங்கப்பட்டது.
- Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
- கிளையன்ட் மென்பொருளில் சிறந்த பிழை. CC EAL 2020+ பாதுகாப்புச் சான்றிதழைப் பெற்ற பாதுகாப்பான Samsung கிரிப்டோ செயலிகளில் CVE-28341-5 பாதிப்பைக் கண்டறிந்த ஆராய்ச்சியாளர் வெற்றியாளர் ஆவார். பாதிப்பானது பாதுகாப்பை முற்றிலும் புறக்கணித்து, சிப்பில் செயல்படுத்தப்பட்ட குறியீடு மற்றும் என்கிளேவில் சேமிக்கப்பட்ட தரவுக்கான அணுகலைப் பெறவும், ஸ்கிரீன் சேவர் பூட்டைக் கடந்து, மறைந்த பின்கதவை உருவாக்க ஃபார்ம்வேரில் மாற்றங்களைச் செய்யவும் சாத்தியமாக்கியது.
- மிகவும் குறைத்து மதிப்பிடப்பட்ட பாதுகாப்பு குறைபாடு விருது: மின்னஞ்சலில் உள்ள 21Nails தொடர் பாதுகாப்பு குறைபாடுகளைக் கண்டறிந்ததற்காக Qualys நிறுவனத்திற்கு வழங்கப்பட்டது. சர்வர் எக்ஸிம்மின் 10 கூறுகளைத் தொலைவிலிருந்து சுரண்ட முடியும். இந்தச் சுரண்டல் சாத்தியம் குறித்து எக்ஸிம் உருவாக்குநர்கள் சந்தேகம் கொண்டிருந்தனர், மேலும் அதற்கான திருத்தங்களை உருவாக்க ஆறு மாதங்களுக்கும் மேலாகச் செலவிட்டனர்.
- உற்பத்தியாளரின் மிகவும் லேமர் எதிர்வினை (Lamest Vendor Response). ஒருவரின் சொந்த தயாரிப்பில் உள்ள பாதிப்பு அறிக்கைக்கு மிகவும் பொருத்தமற்ற பதிலுக்கான பரிந்துரை. சட்ட அமலாக்கத்திற்கான தடயவியல் பகுப்பாய்வு மற்றும் தரவுச் செயலாக்க பயன்பாடுகளை உருவாக்கும் செலிபிரைட் நிறுவனம் வெற்றி பெற்றது. சிக்னல் நெறிமுறையின் ஆசிரியரான மோக்ஸி மார்லின்ஸ்பைக்கால் இடுகையிடப்பட்ட பாதிப்பு அறிக்கைக்கு செலிபிரைட் தகாத முறையில் பதிலளித்தார். மறைகுறியாக்கப்பட்ட சிக்னல் செய்திகளை ஹேக்கிங் செய்ய அனுமதிக்கும் தொழில்நுட்பத்தை உருவாக்குவது பற்றிய ஊடகக் கட்டுரைக்குப் பிறகு, செலிபிரைட் மீது Moxxi ஆர்வம் காட்டினார், பின்னர் அது Clelebrite இணையதளத்தில் ஒரு கட்டுரையில் உள்ள தகவலை தவறாகப் புரிந்துகொண்டதால் அது போலியானது என்று மாறியது, பின்னர் அது அகற்றப்பட்டது (“ தாக்குதலுக்கு" ஃபோனுக்கான உடல் அணுகல் மற்றும் திரையைத் திறக்கும் திறன் தேவை, அதாவது மெசஞ்சரில் செய்திகளைப் பார்ப்பதற்குக் குறைக்கப்பட்டது, ஆனால் கைமுறையாக அல்ல, ஆனால் பயனர் செயல்களை உருவகப்படுத்தும் சிறப்பு பயன்பாட்டைப் பயன்படுத்துகிறது).
Moxxi Cellebrite பயன்பாடுகளை ஆய்வு செய்து, சிறப்பாக வடிவமைக்கப்பட்ட தரவை ஸ்கேன் செய்ய முயற்சிக்கும்போது தன்னிச்சையான குறியீட்டை இயக்க அனுமதிக்கும் முக்கியமான பாதிப்புகளைக் கண்டறிந்தார். Cellebrite பயன்பாடு, 9 ஆண்டுகளாக புதுப்பிக்கப்படாத காலாவதியான ffmpeg நூலகத்தைப் பயன்படுத்துவதும் கண்டறியப்பட்டது மற்றும் அதிக எண்ணிக்கையில் இணைக்கப்படாத பாதிப்புகள் உள்ளன. சிக்கல்களை ஒப்புக்கொள்வதற்கும் சிக்கல்களைச் சரிசெய்வதற்கும் பதிலாக, Celebrite ஒரு அறிக்கையை வெளியிட்டுள்ளது, அது பயனர் தரவின் ஒருமைப்பாட்டைப் பற்றி அக்கறை கொண்டுள்ளது, அதன் தயாரிப்புகளின் பாதுகாப்பை சரியான அளவில் பராமரிக்கிறது, வழக்கமான புதுப்பிப்புகளை வெளியிடுகிறது மற்றும் அதன் வகையான சிறந்த பயன்பாடுகளை வழங்குகிறது.
- மிகப்பெரிய சாதனை. பாதுகாப்பு ஆராய்ச்சியாளர்களுக்கான கருவிகளின் வளர்ச்சிக்காகவும், 30 ஆண்டுகளாக தயாரிப்பை புதுப்பித்த நிலையில் வைத்திருக்கும் திறனுக்காகவும், ஐடிஏ பிரித்தெடுத்தல் மற்றும் ஹெக்ஸ்-ரேஸ் டிகம்பைலரின் ஆசிரியரான இல்ஃபாக் கில்ஃபானோவுக்கு இந்த விருது வழங்கப்பட்டது.
ஆதாரம்: opennet.ru
