ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Pwnie అవార్డ్స్ 2021: అత్యంత ముఖ్యమైన భద్రతా లోపాలు మరియు వైఫల్యాలు

Pwnie అవార్డ్స్ 2021: అత్యంత ముఖ్యమైన భద్రతా లోపాలు మరియు వైఫల్యాలు

కంప్యూటర్ సెక్యూరిటీ రంగంలో అత్యంత ముఖ్యమైన దుర్బలత్వం మరియు అసంబద్ధ వైఫల్యాలను హైలైట్ చేస్తూ వార్షిక Pwnie అవార్డ్స్ 2021 విజేతలు నిర్ణయించబడ్డారు. ప్నీ అవార్డులు కంప్యూటర్ భద్రతలో ఆస్కార్ మరియు గోల్డెన్ రాస్ప్బెర్రీకి సమానమైనవిగా పరిగణించబడతాయి.

ప్రధాన విజేతలు (పోటీదారుల జాబితా):

  • బెటర్ ప్రివిలేజ్ ఎస్కలేషన్ దుర్బలత్వం. రూట్ అధికారాలను పొందేందుకు అనుమతించే సుడో యుటిలిటీలో CVE-2021-3156 దుర్బలత్వాన్ని గుర్తించినందుకు క్వాలిస్‌కు ఈ విజయం అందించబడింది. దుర్బలత్వం సుమారు 10 సంవత్సరాలుగా కోడ్‌లో ఉంది మరియు దానిని గుర్తించడానికి యుటిలిటీ యొక్క తర్కం యొక్క సమగ్ర విశ్లేషణ అవసరం కావడం గమనార్హం.
  • ఉత్తమ సర్వర్ బగ్. నెట్‌వర్క్ సేవలో అత్యంత సాంకేతికంగా సంక్లిష్టమైన మరియు ఆసక్తికరమైన బగ్‌ను గుర్తించి, ఉపయోగించుకున్నందుకు అవార్డు. మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్‌పై దాడులకు సంబంధించిన కొత్త వెక్టర్‌ను గుర్తించినందుకు ఈ విజయం లభించింది. ఈ తరగతికి సంబంధించిన అన్ని దుర్బలత్వాల గురించిన సమాచారం ప్రచురించబడలేదు, అయితే ధృవీకరణ లేకుండా ఏకపక్ష వినియోగదారు నుండి డేటాను సంగ్రహించడానికి అనుమతించే దుర్బలత్వం CVE-2021-26855 (ProxyLogon), మరియు CVE-2021-27065 గురించి సమాచారం ఇప్పటికే బహిర్గతం చేయబడింది. అడ్మినిస్ట్రేటర్ హక్కులతో సర్వర్‌లో మీ కోడ్‌ని అమలు చేయడం సాధ్యపడుతుంది.
  • ఉత్తమ క్రిప్టోగ్రాఫిక్ దాడి. రియల్ సిస్టమ్‌లు, ప్రోటోకాల్‌లు మరియు ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లలో అత్యంత ముఖ్యమైన లోపాలను గుర్తించినందుకు అవార్డు పొందింది. పబ్లిక్ కీల నుండి ప్రైవేట్ కీలను రూపొందించగల ఎలిప్టిక్ కర్వ్ డిజిటల్ సిగ్నేచర్‌ల అమలులో దుర్బలత్వం (CVE-2020-0601) కోసం Microsoftకి ఈ అవార్డు ఇవ్వబడింది. సమస్య HTTPS మరియు కల్పిత డిజిటల్ సంతకాల కోసం నకిలీ TLS సర్టిఫికేట్‌లను సృష్టించడానికి అనుమతించింది, అవి Windowsలో విశ్వసనీయమైనవిగా ధృవీకరించబడ్డాయి.
  • అత్యంత వినూత్న పరిశోధన. ప్రాసెసర్ సూచనల ఊహాజనిత అమలు ఫలితంగా సైడ్-ఛానల్ లీక్‌లను ఉపయోగించడం ద్వారా అడ్రస్ రాండమైజేషన్-బేస్డ్ (ASLR) రక్షణను దాటవేయడానికి బ్లైండ్‌సైడ్ పద్ధతిని ప్రతిపాదించిన పరిశోధకులకు ఈ అవార్డు ఇవ్వబడింది.
  • అతిపెద్ద వైఫల్యం (అత్యంత ఎపిక్ ఫెయిల్). మీ కోడ్‌ని అమలు చేయడానికి మిమ్మల్ని అనుమతించే Windows ప్రింటింగ్ సిస్టమ్‌లో PrintNightmare (CVE-2021-34527) దుర్బలత్వం కోసం బహుళ-విడుదల విచ్ఛిన్నమైన పరిష్కారానికి Microsoftకి అవార్డు అందించబడింది. మొదట, మైక్రోసాఫ్ట్ సమస్యను స్థానికంగా ఫ్లాగ్ చేసింది, కానీ తర్వాత దాడిని రిమోట్‌గా నిర్వహించవచ్చని తేలింది. మైక్రోసాఫ్ట్ నాలుగుసార్లు నవీకరణలను ప్రచురించింది, కానీ ప్రతిసారీ ఫిక్స్ ఒక ప్రత్యేక కేసును మాత్రమే మూసివేసింది మరియు పరిశోధకులు దాడిని నిర్వహించడానికి కొత్త మార్గాన్ని కనుగొన్నారు.
  • క్లయింట్ సాఫ్ట్‌వేర్‌లో ఉత్తమ బగ్. CC EAL 2020+ సెక్యూరిటీ సర్టిఫికెట్‌ని పొందిన సురక్షిత Samsung క్రిప్టో ప్రాసెసర్‌లలో CVE-28341-5 దుర్బలత్వాన్ని గుర్తించిన పరిశోధకుడు విజేత. ఈ దుర్బలత్వం రక్షణను పూర్తిగా దాటవేయడం మరియు ఎన్‌క్లేవ్‌లో నిల్వ చేయబడిన చిప్ మరియు డేటాపై అమలు చేయబడిన కోడ్‌కు ప్రాప్యతను పొందడం, స్క్రీన్ సేవర్ లాక్‌ని దాటవేయడం మరియు దాచిన బ్యాక్‌డోర్‌ను సృష్టించడానికి ఫర్మ్‌వేర్‌లో మార్పులు చేయడం సాధ్యపడింది.
  • అత్యంత తక్కువగా అంచనా వేయబడిన దుర్బలత్వం. ఎగ్జిమ్ మెయిల్ సర్వర్‌లో 21నెయిల్స్ దుర్బలత్వాల శ్రేణిని గుర్తించినందుకు క్వాలిస్‌కు ఈ అవార్డు ఇవ్వబడింది, వాటిలో 10 రిమోట్‌గా ఉపయోగించబడతాయి. ఎగ్జిమ్ డెవలపర్‌లు సమస్యలను ఉపయోగించుకునే అవకాశం గురించి సందేహించారు మరియు పరిష్కారాలను అభివృద్ధి చేయడానికి 6 నెలలకు పైగా గడిపారు.
  • తయారీదారు యొక్క అత్యంత లామర్ రియాక్షన్ (లామెస్ట్ వెండర్ రెస్పాన్స్). ఒకరి స్వంత ఉత్పత్తిలో దుర్బలత్వ నివేదికకు అత్యంత అనుచితమైన ప్రతిస్పందన కోసం నామినేషన్. ఫోరెన్సిక్ విశ్లేషణ మరియు చట్ట అమలు కోసం డేటా మైనింగ్ అప్లికేషన్‌లను రూపొందించే సంస్థ సెల్లెబ్రిట్ విజేత. సిగ్నల్ ప్రోటోకాల్ రచయిత మోక్సీ మార్లిన్‌స్పైక్ పోస్ట్ చేసిన దుర్బలత్వ నివేదికపై సెల్లెబ్రైట్ అనుచితంగా స్పందించారు. గుప్తీకరించిన సిగ్నల్ సందేశాలను హ్యాకింగ్ చేయడానికి అనుమతించే సాంకేతికతను రూపొందించడం గురించి మీడియా కథనం తర్వాత Moxxi సెల్లెబ్రైట్‌పై ఆసక్తి కనబరిచింది, ఇది Cellebrate వెబ్‌సైట్‌లోని ఒక కథనంలోని సమాచారాన్ని తప్పుగా అర్థం చేసుకోవడం వల్ల నకిలీ అని తేలింది, అది తీసివేయబడింది (“ దాడికి" ఫోన్‌కు భౌతిక ప్రాప్యత మరియు స్క్రీన్‌ని అన్‌లాక్ చేసే సామర్థ్యం అవసరం, అనగా మెసెంజర్‌లో సందేశాలను వీక్షించడానికి తగ్గించబడింది, కానీ మానవీయంగా కాదు, కానీ వినియోగదారు చర్యలను అనుకరించే ప్రత్యేక అప్లికేషన్‌ను ఉపయోగించడం).

    Moxxi సెల్లెబ్రిట్ అప్లికేషన్‌లను అధ్యయనం చేసింది మరియు ప్రత్యేకంగా రూపొందించిన డేటాను స్కాన్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు ఏకపక్ష కోడ్‌ని అమలు చేయడానికి అనుమతించే క్లిష్టమైన దుర్బలత్వాలను గుర్తించింది. Cellebrite అప్లికేషన్ కూడా పాత ffmpeg లైబ్రరీని ఉపయోగిస్తున్నట్లు కనుగొనబడింది, అది 9 సంవత్సరాలుగా నవీకరించబడలేదు మరియు పెద్ద సంఖ్యలో అన్‌ప్యాచ్ చేయని దుర్బలత్వాలను కలిగి ఉంది. సమస్యలను గుర్తించి, సమస్యలను పరిష్కరించే బదులు, Celebrite వినియోగదారు డేటా యొక్క సమగ్రత గురించి శ్రద్ధ వహిస్తుందని, దాని ఉత్పత్తుల భద్రతను సరైన స్థాయిలో నిర్వహిస్తుందని, రెగ్యులర్ అప్‌డేట్‌లను విడుదల చేస్తుంది మరియు ఈ రకమైన ఉత్తమ అప్లికేషన్‌లను అందజేస్తుందని ఒక ప్రకటనను విడుదల చేసింది.

  • అతిపెద్ద విజయం. భద్రతా పరిశోధకుల కోసం సాధనాల అభివృద్ధికి మరియు 30 సంవత్సరాల పాటు ఉత్పత్తిని తాజాగా ఉంచడంలో అతని సామర్థ్యానికి IDA డిసాసెంబ్లర్ మరియు హెక్స్-రేస్ డీకంపైలర్ రచయిత ఇల్ఫాక్ గిల్ఫానోవ్‌కు ఈ అవార్డు ఇవ్వబడింది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి