- Leo thang đặc quyền cục bộ trong Ubuntu Desktop bằng cách khai thác lỗ hổng trong nhân Linux liên quan đến việc xác minh sai giá trị đầu vào (giải thưởng 30 USD);
- Trình diễn thoát khỏi môi trường khách trong VirtualBox và thực thi mã với quyền ảo hóa, khai thác hai lỗ hổng - khả năng đọc dữ liệu từ một khu vực bên ngoài bộ đệm được phân bổ và lỗi khi làm việc với các biến chưa được khởi tạo (giải thưởng 40 nghìn đô la). Bên ngoài cuộc thi, đại diện Zero Day Initiative còn trình diễn một bản hack VirtualBox khác, cho phép truy cập vào hệ thống máy chủ thông qua các thao tác trong môi trường khách;
- Hack Safari với các đặc quyền nâng cao lên cấp kernel macOS và chạy máy tính với quyền root. Để khai thác, một chuỗi 6 lỗi đã được sử dụng (giải thưởng 70 nghìn đô la);
- Hai minh chứng về việc leo thang đặc quyền cục bộ trong Windows thông qua việc khai thác các lỗ hổng dẫn đến quyền truy cập vào vùng bộ nhớ đã được giải phóng (hai giải thưởng trị giá 40 nghìn đô la mỗi giải);
- Giành quyền truy cập quản trị viên trong Windows khi mở tài liệu PDF được thiết kế đặc biệt trong Adobe Reader. Cuộc tấn công liên quan đến các lỗ hổng trong Acrobat và nhân Windows liên quan đến việc truy cập các vùng bộ nhớ đã được giải phóng (giải thưởng 50 USD).
Các đề cử hack Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office và Microsoft Windows RDP vẫn chưa được xác nhận. Một nỗ lực đã được thực hiện để hack VMware Workstation nhưng không thành công.
Giống như năm ngoái, các hạng mục giải thưởng không bao gồm các vụ hack của phần lớn các dự án nguồn mở (nginx, OpenSSL, Apache httpd).
Riêng biệt, chúng ta có thể lưu ý chủ đề hack hệ thống thông tin của ô tô Tesla. Không có nỗ lực hack Tesla nào tại cuộc thi, mặc dù giải thưởng tối đa là 700 nghìn USD, nhưng riêng biệt
Nguồn: opennet.ru