ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Pwn2Own 2020 పోటీలో Ubuntu, Windows, macOS మరియు VirtualBox యొక్క హ్యాక్‌లు ప్రదర్శించబడ్డాయి

Pwn2Own 2020 పోటీలో Ubuntu, Windows, macOS మరియు VirtualBox యొక్క హ్యాక్‌లు ప్రదర్శించబడ్డాయి

దించండి CanSecWest కాన్ఫరెన్స్‌లో భాగంగా ఏటా నిర్వహించబడే Pwn2Own 2020 రెండు రోజుల పోటీల ఫలితాలు. ఈ సంవత్సరం పోటీ వర్చువల్‌గా నిర్వహించబడింది మరియు దాడులు ఆన్‌లైన్‌లో ప్రదర్శించబడ్డాయి. ఉబుంటు డెస్క్‌టాప్ (Linux కెర్నల్), Windows, macOS, Safari, VirtualBox మరియు Adobe Readerలో మునుపు తెలియని దుర్బలత్వాలను ఉపయోగించడం కోసం ఈ పోటీ పని పద్ధతులను అందించింది. చెల్లింపుల మొత్తం 270 వేల డాలర్లు (మొత్తం బహుమతి నిధి మొత్తం 4 మిలియన్ US డాలర్ల కంటే ఎక్కువ).

  • ఇన్‌పుట్ విలువల (బహుమతి $30) యొక్క తప్పు ధృవీకరణతో అనుబంధించబడిన Linux కెర్నల్‌లోని దుర్బలత్వాన్ని ఉపయోగించడం ద్వారా ఉబుంటు డెస్క్‌టాప్‌లో అధికారాల స్థానిక పెరుగుదల;
  • VirtualBoxలో అతిథి పర్యావరణం నుండి నిష్క్రమించడం మరియు హైపర్‌వైజర్ హక్కులతో కోడ్‌ని అమలు చేయడం, రెండు దుర్బలత్వాలను ఉపయోగించడం - కేటాయించిన బఫర్‌కు వెలుపల ఉన్న ప్రాంతం నుండి డేటాను చదవగల సామర్థ్యం మరియు ప్రారంభించబడని వేరియబుల్స్ (బహుమతి 40 వేల డాలర్లు)తో పని చేస్తున్నప్పుడు లోపం. పోటీ వెలుపల, జీరో డే ఇనిషియేటివ్ ప్రతినిధులు మరొక వర్చువల్‌బాక్స్ హ్యాక్‌ను కూడా ప్రదర్శించారు, ఇది అతిథి వాతావరణంలో మానిప్యులేషన్‌ల ద్వారా హోస్ట్ సిస్టమ్‌కు ప్రాప్యతను అనుమతిస్తుంది;



  • MacOS కెర్నల్ స్థాయికి ఎలివేటెడ్ అధికారాలతో Safariని హ్యాక్ చేయడం మరియు కాలిక్యులేటర్‌ను రూట్‌గా అమలు చేయడం. దోపిడీ కోసం, 6 లోపాల గొలుసు ఉపయోగించబడింది (బహుమతి 70 వేల డాలర్లు);
  • విండోస్‌లో స్థానిక అధికారాల పెంపుదలకు సంబంధించిన రెండు ప్రదర్శనలు, ఇది ఇప్పటికే విముక్తి పొందిన మెమరీ ప్రాంతానికి (ఒక్కొక్కటి 40 వేల డాలర్లు చొప్పున రెండు బహుమతులు) యాక్సెస్‌కు దారితీసే దుర్బలత్వాల దోపిడీ ద్వారా;
  • అడోబ్ రీడర్‌లో ప్రత్యేకంగా రూపొందించిన PDF పత్రాన్ని తెరిచినప్పుడు Windowsలో నిర్వాహకుని ప్రాప్యతను పొందడం. దాడిలో అక్రోబాట్ మరియు విండోస్ కెర్నల్‌లో ఇప్పటికే విముక్తి పొందిన మెమరీ ప్రాంతాలను ($50 బహుమతి) యాక్సెస్ చేయడానికి సంబంధించిన దుర్బలత్వాలు ఉంటాయి.

క్రోమ్, ఫైర్‌ఫాక్స్, ఎడ్జ్, మైక్రోసాఫ్ట్ హైపర్-వి క్లయింట్, మైక్రోసాఫ్ట్ ఆఫీస్ మరియు మైక్రోసాఫ్ట్ విండోస్ ఆర్‌డిపి హ్యాకింగ్ కోసం నామినేషన్‌లు క్లెయిమ్ చేయబడలేదు. VMware వర్క్‌స్టేషన్‌ను హ్యాక్ చేయడానికి ప్రయత్నించారు, కానీ అది విఫలమైంది.
గత సంవత్సరం వలె, బహుమతి కేటగిరీలు మెజారిటీ ఓపెన్ సోర్స్ ప్రాజెక్ట్‌ల (nginx, OpenSSL, Apache httpd) హ్యాక్‌లను చేర్చలేదు.

విడిగా, టెస్లా కారు యొక్క సమాచార వ్యవస్థలను హ్యాక్ చేసే అంశాన్ని మనం గమనించవచ్చు. పోటీలో టెస్లాను హ్యాక్ చేయడానికి ఎటువంటి ప్రయత్నాలు జరగలేదు, గరిష్ట బహుమతి $700 వేలు ఉన్నప్పటికీ, విడిగా సమాచారం కనిపించింది టెస్లా మోడల్ 2020లో DoS దుర్బలత్వం (CVE-10558-3) గుర్తింపు గురించి, ఇది అంతర్నిర్మిత బ్రౌజర్‌లో ప్రత్యేకంగా రూపొందించిన పేజీని తెరిచినప్పుడు, ఆటోపైలట్ నుండి నోటిఫికేషన్‌లను నిలిపివేయడానికి మరియు వంటి భాగాల ఆపరేషన్‌కు అంతరాయం కలిగించడానికి అనుమతిస్తుంది. స్పీడోమీటర్, బ్రౌజర్, ఎయిర్ కండిషనింగ్, నావిగేషన్ సిస్టమ్ మొదలైనవి.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి