- การเพิ่มสิทธิ์ในพื้นที่ใน Ubuntu Desktop โดยใช้ประโยชน์จากช่องโหว่ในเคอร์เนล Linux ที่เกี่ยวข้องกับการตรวจสอบค่าอินพุตที่ไม่ถูกต้อง (รางวัล $30)
- การสาธิตการออกจากสภาพแวดล้อมของแขกใน VirtualBox และการรันโค้ดด้วยสิทธิ์ไฮเปอร์ไวเซอร์ การใช้ประโยชน์จากช่องโหว่สองประการ - ความสามารถในการอ่านข้อมูลจากพื้นที่นอกบัฟเฟอร์ที่จัดสรร และข้อผิดพลาดเมื่อทำงานกับตัวแปรที่ไม่ได้กำหนดค่าเริ่มต้น (รางวัล 40 ดอลลาร์) ภายนอกการแข่งขัน ตัวแทนของ Zero Day Initiative ยังสาธิตการแฮ็ก VirtualBox อีกครั้ง ซึ่งอนุญาตให้เข้าถึงระบบโฮสต์ผ่านการยักย้ายในสภาพแวดล้อมของแขก
- การแฮ็ก Safari ด้วยสิทธิพิเศษระดับสูงถึงระดับเคอร์เนล macOS และเรียกใช้เครื่องคิดเลขในฐานะรูท สำหรับการแสวงหาผลประโยชน์มีการใช้ข้อผิดพลาดลูกโซ่ 6 ข้อ (รางวัล 70 ดอลลาร์)
- การสาธิตการเพิ่มสิทธิพิเศษในเครื่อง Windows สองครั้ง ผ่านการใช้ประโยชน์จากช่องโหว่ที่นำไปสู่การเข้าถึงพื้นที่หน่วยความจำที่ว่างแล้ว (รางวัลสองรางวัล รางวัลละ 40 ดอลลาร์)
- เข้าถึงผู้ดูแลระบบใน Windows เมื่อเปิดเอกสาร PDF ที่ออกแบบมาเป็นพิเศษใน Adobe Reader การโจมตีนี้เกี่ยวข้องกับช่องโหว่ใน Acrobat และเคอร์เนลของ Windows ที่เกี่ยวข้องกับการเข้าถึงพื้นที่หน่วยความจำที่ว่างแล้ว (รางวัล 50 ดอลลาร์)
การเสนอชื่อสำหรับการแฮ็ก Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office และ Microsoft Windows RDP ยังคงไม่มีการอ้างสิทธิ์ มีการพยายามแฮ็ก VMware Workstation แต่ไม่สำเร็จ
เช่นเดียวกับปีที่แล้ว หมวดหมู่รางวัลไม่รวมการแฮ็กของโครงการโอเพ่นซอร์สส่วนใหญ่ (nginx, OpenSSL, Apache httpd)
แยกกันเราสามารถสังเกตหัวข้อการแฮ็กระบบข้อมูลของรถยนต์ Tesla ได้ ไม่มีความพยายามที่จะแฮ็ก Tesla ในการแข่งขัน แม้ว่าจะมีรางวัลสูงสุด 700 ดอลลาร์ แต่แยกกัน
ที่มา: opennet.ru