- Giriş değerlerinin yanlış doğrulanmasıyla ilişkili Linux çekirdeğindeki bir güvenlik açığından yararlanılarak Ubuntu Masaüstündeki ayrıcalıkların yerel olarak yükseltilmesi (30 $ ödül);
- VirtualBox'ta konuk ortamından çıkmanın ve hipervizör haklarıyla kod çalıştırmanın, iki güvenlik açığından yararlanmanın gösterilmesi - tahsis edilen arabellek dışındaki bir alandan veri okuma yeteneği ve başlatılmamış değişkenlerle çalışırken bir hata (40 bin dolar ödül). Yarışma dışında, Sıfır Gün Girişimi temsilcileri, konuk ortamındaki manipülasyonlar yoluyla ana bilgisayar sistemine erişime izin veren başka bir VirtualBox hack'ini de gösterdi;
- Safari'yi macOS çekirdek düzeyine yükseltilmiş ayrıcalıklarla hacklemek ve hesap makinesini root olarak çalıştırmak. İstismar için 6 hatadan oluşan bir zincir kullanıldı (ödül 70 bin dolar);
- Zaten serbest bırakılmış bir hafıza alanına erişime yol açan güvenlik açıklarından yararlanılarak Windows'ta yerel ayrıcalık artışının iki gösterimi (her biri 40 bin dolarlık iki ödül);
- Özel olarak tasarlanmış bir PDF belgesini Adobe Reader'da açarken Windows'ta yönetici erişimi elde etme. Saldırı, Acrobat'ta ve Windows çekirdeğinde halihazırda serbest bırakılmış bellek alanlarına erişimle ilgili güvenlik açıklarını içeriyor (50 $ ödül).
Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office ve Microsoft Windows RDP'yi hackleme konusunda adaylıklar açıklanmadı. VMware Workstation'ı hackleme girişiminde bulunuldu ancak başarısız oldu.
Geçen yıl olduğu gibi, ödül kategorileri açık kaynak projelerinin çoğunun (nginx, OpenSSL, Apache httpd) hack'lerini içermiyordu.
Ayrı olarak, bir Tesla arabasının bilgi sistemlerini hackleme konusunu da not edebiliriz. Yarışmada maksimum 700 bin dolarlık ödüle rağmen Tesla'yı hacklemeye yönelik herhangi bir girişimde bulunulmadı.
Kaynak: opennet.ru