تین روزہ Pwn2Own برلن 2026 مقابلے کے نتائج کا اعلان کر دیا گیا ہے۔ آپریٹنگ سسٹمز، براؤزرز، AI سسٹمز، اور ورچوئلائزیشن پلیٹ فارمز میں 47 پہلے نامعلوم صفر دن کی کمزوریوں کا استعمال کرتے ہوئے کامیاب حملوں کا مظاہرہ کیا گیا۔ حملوں میں تمام دستیاب اپ ڈیٹس اور ڈیفالٹ کنفیگریشنز کے ساتھ جدید ترین سافٹ ویئر اور آپریٹنگ سسٹمز کا استعمال کیا گیا۔
کل پرائز پول کی ادائیگی $1.2 ملین USD ($1,298,250) سے تجاوز کر گئی۔ سب سے کامیاب ٹیم، DEVCORE، نے مقابلے سے $505 USD کمائے۔ دوسری پوزیشن کے فاتحین (STARLabs SG) نے $242 USD، اور تیسرے نمبر کے فاتحین نے $95 USD حاصل کیے۔
کئے گئے حملے:
- ریڈ ہیٹ انٹرپرائز Linux: 4 کامیاب حملے جنہوں نے حملہ آوروں کو اپنے مراعات کو روٹ صارف تک پہنچانے کی اجازت دی۔ کمزوریاں انٹیجر اوور فلو، استعمال کے بعد فریز، ریس کے حالات، اور غیر شروع شدہ میموری کے استعمال کی وجہ سے ہوئیں۔ شرکاء کو $20,000، $10,000، $7,000، اور $5,000 سے نوازا گیا۔
- Windows 11: 5 کامیاب حملے جو انتظامی مراعات کی اجازت دیتے ہیں۔ کمزوریاں انٹیجر اوور فلو، بفر اوور فلو، استعمال کے بعد فریز، اور غلط رسائی کنٹرول کی وجہ سے ہوئیں۔ شرکاء کو $30,000، دو $15,000 انعامات، اور دو $7,500 انعامات سے نوازا گیا۔
- VMware ESX: ایک حملہ جس نے میزبان سائیڈ کوڈ پر عمل درآمد کی اجازت دی۔ یہ مسئلہ بفر اوور فلو کی وجہ سے پیش آیا۔ شرکاء کو $200,000 ادا کیے گئے۔
- NV کنٹینر ٹول کٹ: دو کامیاب حملوں نے کنٹینر کی تنہائی کو نظرانداز کیا۔ یہ مسائل استعمال کے بعد مفت کی وجہ سے تھے۔ شرکاء کو $25,000 اور $50,000 سے نوازا گیا۔
- مائیکروسافٹ ایج: سینڈ باکس بائی پاس کے ساتھ ریموٹ کوڈ پر عمل درآمد۔ شرکاء کو $175,000 ادا کیے گئے۔
- مائیکروسافٹ شیئرپوائنٹ: ریموٹ کوڈ پر عمل درآمد۔ شرکاء کو $100,000 ادا کیے گئے۔
- مائیکروسافٹ ایکسچینج: سسٹم مراعات کے ساتھ ریموٹ کوڈ پر عمل درآمد۔ شرکاء کو $200,000 ادا کیے گئے۔
- اوپن اے آئی کوڈیکس: 4 کامیاب ہیکس۔ ادائیگی: $40,000، $20,000 اور $10,000 کے دو انعامات۔
- NVIDIA Megatron Bridge: 4 کامیاب ہیکس۔ ادائیگی: $20,000، دو $10,000 بونس، اور $2,500۔
- انتھروپک کلاڈ کوڈ: 3 کامیاب ہیکس۔ تین $20,000 انعامات ادا کیے گئے۔
- ایل ایم اسٹوڈیو: 2 کامیاب ہیکس۔ ادائیگیاں: $40,000 اور $20,000۔
- کرسر: 2 کامیاب ہیکس۔ ادائیگیاں: $30,000 اور $15,000۔
- LiteLLM: 3 کامیاب ہیکس۔ ادائیگیاں: $17,750، $40,000، اور $8,000۔
- کروما: ایک ہیک، $20,000 ادا کیا گیا۔
- اولاما: ایک ہیک، $28,000 ادا کیے گئے۔
- اینتھروپک کلاڈ ڈیسک ٹاپ: ایک ہیک، $10,000 ادا کیا گیا۔
مذکورہ بالا کامیاب حملوں کے علاوہ، کمزوریوں سے فائدہ اٹھانے کی سات کوششیں ناکام ہوئیں، تمام صورتوں میں کیونکہ ٹیمیں مقررہ وقت کی حد کے اندر حملے کو مکمل کرنے میں ناکام رہیں۔ ناکام کوششوں میں VMware ESXi، Apple Safari، Microsoft SharePoint، اور Red Hat Enterprise کو ہیک کرنا شامل تھا۔ Linux, Firefox, OpenAI Codex, Oracle Autonomous AI Database, NV کنٹینر ٹول کٹ۔
مقابلے کی شرائط کے مطابق، تمام ظاہر کردہ 0-دن کے خطرات کے بارے میں تفصیلی معلومات صرف 90 دنوں کے بعد شائع کی جائیں گی، جو مینوفیکچررز کو اپ ڈیٹس تیار کرنے کے لیے دی جاتی ہیں جو کمزوریوں کو ختم کرتی ہیں۔
ماخذ: opennet.ru
