Har yili CanSecWest konferensiyasi doirasida o‘tkaziladigan Pwn2Own 2022 tanlovining uch kunlik natijalari sarhisob qilindi. Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams va Firefox uchun avval noma'lum bo'lgan zaifliklardan foydalanish bo'yicha ish usullari namoyish etilgan. Jami 25 ta muvaffaqiyatli hujum namoyish etildi va uchta urinish muvaffaqiyatsiz yakunlandi. Hujumlar barcha mavjud yangilanishlar va standart konfiguratsiyalarga ega ilovalar, brauzerlar va operatsion tizimlarning so'nggi barqaror versiyalaridan foydalangan. To'langan mukofotning umumiy miqdori 1,155,000 XNUMX XNUMX AQSh dollarini tashkil etdi.
Tanlov turli ishtirokchilar jamoalari tomonidan amalga oshirilgan Ubuntu Desktop’da ilgari noma’lum bo‘lgan zaifliklardan foydalanish bo‘yicha beshta muvaffaqiyatli urinishlarni namoyish etdi. Bitta 40 40 AQSh dollari mukofoti Ubuntu Desktop-da ikkita bufer to'lib ketishi va ikki marta bepul muammolardan foydalangan holda mahalliy imtiyozlarning kuchayishini namoyish qilish uchun to'langan. Har biri XNUMX XNUMX dollarga teng boʻlgan toʻrtta mukofot “Free Use-After-Free” zaifliklaridan foydalanish orqali imtiyozlarning kuchayishini namoyish qilgani uchun berildi.
Muammoning aniq komponentlari hali xabar qilinmagan; tanlov shartlariga muvofiq, barcha ko'rsatilgan 0 kunlik zaifliklar haqida batafsil ma'lumotlar faqat 90 kundan keyin e'lon qilinadi, ular ishlab chiqaruvchilarga muammolarni bartaraf etadigan yangilanishlarni tayyorlash uchun beriladi. zaifliklar.
Boshqa muvaffaqiyatli hujumlar:
- Firefox uchun ekspluatatsiyani ishlab chiqish uchun 100 ming dollar, bu maxsus mo'ljallangan sahifani ochishda sandbox izolyatsiyasini chetlab o'tish va tizimda kodni bajarish imkonini berdi.
- Mehmondan chiqish uchun Oracle Virtualbox-da bufer to'lib ketishidan foydalanadigan ekspluatatsiyani namoyish qilish uchun $40 XNUMX.
- Apple Safari-ni ishlatish uchun 50 ming dollar (bufer to'lib ketishi).
- Microsoft Teams-ni buzish uchun 450 ming dollar (turli jamoalar har biri uchun 150 ming mukofot bilan uchta xakerni namoyish qilishdi).
- 80 ming dollar (har biri 40 mingdan ikkita mukofot) Microsoft Windows 11-da bufer to'lib-toshgani va o'z imtiyozlarini oshirganlik uchun.
- 80 ming dollar (har biri 40 mingdan ikkita mukofot) Microsoft Windows 11-da imtiyozlarni oshirish uchun kirishni tekshirish kodidagi xatolikdan foydalanganlik uchun.
- Microsoft Windows 40-da imtiyozlarni oshirish uchun butun sonlarni to'ldirishdan foydalanish uchun $11K.
- Microsoft Windows 40 da Use-After-Free zaifligidan foydalanish uchun 11 ming dollar.
- Telsa Model 75 ning maʼlumot-koʻngilochar tizimiga hujumni namoyish qilish uchun 3 ming dollar. Ekspluatatsiyada bufer toʻlib ketishiga va ikki marta boʻshatishga olib keladigan xatolar, shuningdek, avvalroq maʼlum boʻlgan sinovli muhit izolyatsiyasini chetlab oʻtish texnikasi ishlatilgan.
Microsoft Windows 11 (6 ta muvaffaqiyatli va 1 ta muvaffaqiyatsiz), Tesla (1 ta muvaffaqiyatli va 1 ta muvaffaqiyatsiz) va Microsoft Teams (3 ta muvaffaqiyatli xaker va 1 ta muvaffaqiyatsiz) tizimlarini buzish uchun alohida urinishlar qilingan, ammo muvaffaqiyatsiz boʻlgan. Bu yil Google Chrome’da ekspluatatsiyalarni ko‘rsatish bo‘yicha so‘rovlar bo‘lmadi.
Manba: opennet.ru