- 通过利用 Linux 内核中与输入值验证不正确相关的漏洞,在 Ubuntu 桌面上进行本地权限升级(奖金 30 美元);
- 演示退出 VirtualBox 中的来宾环境并使用虚拟机管理程序权限执行代码,利用两个漏洞 - 从分配的缓冲区之外的区域读取数据的能力以及使用未初始化变量时出现的错误(奖金 40 万美元)。 在比赛之外,零日计划的代表还展示了另一种 VirtualBox 黑客技术,该黑客技术允许通过在来宾环境中进行操作来访问主机系统;
- 使用提升到 macOS 内核级别的权限入侵 Safari 并以 root 身份运行计算器。 为了进行利用,使用了一系列 6 个错误(奖金 70 万美元);
- 两个演示,通过利用漏洞来访问已释放的内存区域,从而在 Windows 中进行本地权限提升(两项奖金各 40 万美元);
- 在 Adobe Reader 中打开专门设计的 PDF 文档时,在 Windows 中获得管理员访问权限。 该攻击涉及 Acrobat 和 Windows 内核中与访问已释放内存区域相关的漏洞(奖金 50 美元)。
黑客 Chrome、Firefox、Edge、Microsoft Hyper-V 客户端、Microsoft Office 和 Microsoft Windows RDP 的提名仍未有人领取。 有人尝试破解 VMware Workstation,但没有成功。
与去年一样,奖项类别不包括大多数开源项目(nginx、OpenSSL、Apache httpd)的黑客攻击。
另外,我们可以注意到黑客攻击特斯拉汽车信息系统的主题。 尽管最高奖金为 700 万美元,但比赛中没有人试图破解特斯拉,但单独
来源: opennet.ru