కంప్యూటర్ సెక్యూరిటీ రంగంలో అత్యంత ముఖ్యమైన దుర్బలత్వం మరియు అసంబద్ధ వైఫల్యాలను హైలైట్ చేస్తూ వార్షిక Pwnie అవార్డ్స్ 2021 విజేతలు నిర్ణయించబడ్డారు. ప్నీ అవార్డులు కంప్యూటర్ భద్రతలో ఆస్కార్ మరియు గోల్డెన్ రాస్ప్బెర్రీకి సమానమైనవిగా పరిగణించబడతాయి.
ప్రధాన విజేతలు (పోటీదారుల జాబితా):
- బెటర్ ప్రివిలేజ్ ఎస్కలేషన్ దుర్బలత్వం. రూట్ అధికారాలను పొందేందుకు అనుమతించే సుడో యుటిలిటీలో CVE-2021-3156 దుర్బలత్వాన్ని గుర్తించినందుకు క్వాలిస్కు ఈ విజయం అందించబడింది. దుర్బలత్వం సుమారు 10 సంవత్సరాలుగా కోడ్లో ఉంది మరియు దానిని గుర్తించడానికి యుటిలిటీ యొక్క తర్కం యొక్క సమగ్ర విశ్లేషణ అవసరం కావడం గమనార్హం.
- ఉత్తమ సర్వర్ బగ్. నెట్వర్క్ సేవలో అత్యంత సాంకేతికంగా సంక్లిష్టమైన మరియు ఆసక్తికరమైన బగ్ను గుర్తించి, ఉపయోగించుకున్నందుకు అవార్డు. మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్పై దాడులకు సంబంధించిన కొత్త వెక్టర్ను గుర్తించినందుకు ఈ విజయం లభించింది. ఈ తరగతికి సంబంధించిన అన్ని దుర్బలత్వాల గురించిన సమాచారం ప్రచురించబడలేదు, అయితే ధృవీకరణ లేకుండా ఏకపక్ష వినియోగదారు నుండి డేటాను సంగ్రహించడానికి అనుమతించే దుర్బలత్వం CVE-2021-26855 (ProxyLogon), మరియు CVE-2021-27065 గురించి సమాచారం ఇప్పటికే బహిర్గతం చేయబడింది. అడ్మినిస్ట్రేటర్ హక్కులతో సర్వర్లో మీ కోడ్ని అమలు చేయడం సాధ్యపడుతుంది.
- ఉత్తమ క్రిప్టోగ్రాఫిక్ దాడి. రియల్ సిస్టమ్లు, ప్రోటోకాల్లు మరియు ఎన్క్రిప్షన్ అల్గారిథమ్లలో అత్యంత ముఖ్యమైన లోపాలను గుర్తించినందుకు అవార్డు పొందింది. పబ్లిక్ కీల నుండి ప్రైవేట్ కీలను రూపొందించగల ఎలిప్టిక్ కర్వ్ డిజిటల్ సిగ్నేచర్ల అమలులో దుర్బలత్వం (CVE-2020-0601) కోసం Microsoftకి ఈ అవార్డు ఇవ్వబడింది. సమస్య HTTPS మరియు కల్పిత డిజిటల్ సంతకాల కోసం నకిలీ TLS సర్టిఫికేట్లను సృష్టించడానికి అనుమతించింది, అవి Windowsలో విశ్వసనీయమైనవిగా ధృవీకరించబడ్డాయి.
- అత్యంత వినూత్న పరిశోధన. ప్రాసెసర్ సూచనల ఊహాజనిత అమలు ఫలితంగా సైడ్-ఛానల్ లీక్లను ఉపయోగించడం ద్వారా అడ్రస్ రాండమైజేషన్-బేస్డ్ (ASLR) రక్షణను దాటవేయడానికి బ్లైండ్సైడ్ పద్ధతిని ప్రతిపాదించిన పరిశోధకులకు ఈ అవార్డు ఇవ్వబడింది.
- అతిపెద్ద వైఫల్యం (అత్యంత ఎపిక్ ఫెయిల్). మీ కోడ్ని అమలు చేయడానికి మిమ్మల్ని అనుమతించే Windows ప్రింటింగ్ సిస్టమ్లో PrintNightmare (CVE-2021-34527) దుర్బలత్వం కోసం బహుళ-విడుదల విచ్ఛిన్నమైన పరిష్కారానికి Microsoftకి అవార్డు అందించబడింది. మొదట, మైక్రోసాఫ్ట్ సమస్యను స్థానికంగా ఫ్లాగ్ చేసింది, కానీ తర్వాత దాడిని రిమోట్గా నిర్వహించవచ్చని తేలింది. మైక్రోసాఫ్ట్ నాలుగుసార్లు నవీకరణలను ప్రచురించింది, కానీ ప్రతిసారీ ఫిక్స్ ఒక ప్రత్యేక కేసును మాత్రమే మూసివేసింది మరియు పరిశోధకులు దాడిని నిర్వహించడానికి కొత్త మార్గాన్ని కనుగొన్నారు.
- క్లయింట్ సాఫ్ట్వేర్లో ఉత్తమ బగ్. CC EAL 2020+ సెక్యూరిటీ సర్టిఫికెట్ని పొందిన సురక్షిత Samsung క్రిప్టో ప్రాసెసర్లలో CVE-28341-5 దుర్బలత్వాన్ని గుర్తించిన పరిశోధకుడు విజేత. ఈ దుర్బలత్వం రక్షణను పూర్తిగా దాటవేయడం మరియు ఎన్క్లేవ్లో నిల్వ చేయబడిన చిప్ మరియు డేటాపై అమలు చేయబడిన కోడ్కు ప్రాప్యతను పొందడం, స్క్రీన్ సేవర్ లాక్ని దాటవేయడం మరియు దాచిన బ్యాక్డోర్ను సృష్టించడానికి ఫర్మ్వేర్లో మార్పులు చేయడం సాధ్యపడింది.
- అత్యంత తక్కువగా అంచనా వేయబడిన దుర్బలత్వం. ఎగ్జిమ్ మెయిల్ సర్వర్లో 21నెయిల్స్ దుర్బలత్వాల శ్రేణిని గుర్తించినందుకు క్వాలిస్కు ఈ అవార్డు ఇవ్వబడింది, వాటిలో 10 రిమోట్గా ఉపయోగించబడతాయి. ఎగ్జిమ్ డెవలపర్లు సమస్యలను ఉపయోగించుకునే అవకాశం గురించి సందేహించారు మరియు పరిష్కారాలను అభివృద్ధి చేయడానికి 6 నెలలకు పైగా గడిపారు.
- తయారీదారు యొక్క అత్యంత లామర్ రియాక్షన్ (లామెస్ట్ వెండర్ రెస్పాన్స్). ఒకరి స్వంత ఉత్పత్తిలో దుర్బలత్వ నివేదికకు అత్యంత అనుచితమైన ప్రతిస్పందన కోసం నామినేషన్. ఫోరెన్సిక్ విశ్లేషణ మరియు చట్ట అమలు కోసం డేటా మైనింగ్ అప్లికేషన్లను రూపొందించే సంస్థ సెల్లెబ్రిట్ విజేత. సిగ్నల్ ప్రోటోకాల్ రచయిత మోక్సీ మార్లిన్స్పైక్ పోస్ట్ చేసిన దుర్బలత్వ నివేదికపై సెల్లెబ్రైట్ అనుచితంగా స్పందించారు. గుప్తీకరించిన సిగ్నల్ సందేశాలను హ్యాకింగ్ చేయడానికి అనుమతించే సాంకేతికతను రూపొందించడం గురించి మీడియా కథనం తర్వాత Moxxi సెల్లెబ్రైట్పై ఆసక్తి కనబరిచింది, ఇది Cellebrate వెబ్సైట్లోని ఒక కథనంలోని సమాచారాన్ని తప్పుగా అర్థం చేసుకోవడం వల్ల నకిలీ అని తేలింది, అది తీసివేయబడింది (“ దాడికి" ఫోన్కు భౌతిక ప్రాప్యత మరియు స్క్రీన్ని అన్లాక్ చేసే సామర్థ్యం అవసరం, అనగా మెసెంజర్లో సందేశాలను వీక్షించడానికి తగ్గించబడింది, కానీ మానవీయంగా కాదు, కానీ వినియోగదారు చర్యలను అనుకరించే ప్రత్యేక అప్లికేషన్ను ఉపయోగించడం).
Moxxi సెల్లెబ్రిట్ అప్లికేషన్లను అధ్యయనం చేసింది మరియు ప్రత్యేకంగా రూపొందించిన డేటాను స్కాన్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు ఏకపక్ష కోడ్ని అమలు చేయడానికి అనుమతించే క్లిష్టమైన దుర్బలత్వాలను గుర్తించింది. Cellebrite అప్లికేషన్ కూడా పాత ffmpeg లైబ్రరీని ఉపయోగిస్తున్నట్లు కనుగొనబడింది, అది 9 సంవత్సరాలుగా నవీకరించబడలేదు మరియు పెద్ద సంఖ్యలో అన్ప్యాచ్ చేయని దుర్బలత్వాలను కలిగి ఉంది. సమస్యలను గుర్తించి, సమస్యలను పరిష్కరించే బదులు, Celebrite వినియోగదారు డేటా యొక్క సమగ్రత గురించి శ్రద్ధ వహిస్తుందని, దాని ఉత్పత్తుల భద్రతను సరైన స్థాయిలో నిర్వహిస్తుందని, రెగ్యులర్ అప్డేట్లను విడుదల చేస్తుంది మరియు ఈ రకమైన ఉత్తమ అప్లికేషన్లను అందజేస్తుందని ఒక ప్రకటనను విడుదల చేసింది.
- అతిపెద్ద విజయం. భద్రతా పరిశోధకుల కోసం సాధనాల అభివృద్ధికి మరియు 30 సంవత్సరాల పాటు ఉత్పత్తిని తాజాగా ఉంచడంలో అతని సామర్థ్యానికి IDA డిసాసెంబ్లర్ మరియు హెక్స్-రేస్ డీకంపైలర్ రచయిత ఇల్ఫాక్ గిల్ఫానోవ్కు ఈ అవార్డు ఇవ్వబడింది.
మూలం: opennet.ru