Объявлены победители Pwnie Awards 2012

в 19:24, , рубрики: Black Hat, информационная безопасность, уязвимость, метки: ,

Объявлены победители Pwnie Awards 2012
Pwnie Awards — премия за достижения или провалы в области информационной безопасности. Церемония вручения проводится в Лос-Анджелесе на конференции Blackhat USA.

Лучшая уязвимость на стороне клиента.

Премия в данной номинации присуждается тому, кто проэксплуатировал или обнаружил наиболее сложную и интересную уязвимость на стороне клиента.

  • Pwnium Exploit от Pinkie Pie.

    Pinkie Pie проэксплуатировал 6 различных уязвимостей, благодаря чему ему удалось выполнить произвольный код в браузере в Chrome.

  • Pwnium Exploit от Сергея Глазунова

    Сергей Глазунов удачно проэксплуатировал по крайней мере 14 различных багов в Chrome.

  • MS11-087: Уязвимость в win32k.sys при парсинге TrueType шрифтов. Автор: авторы Duqu.

    Данная уязвимость в ядре операционной системы позволяет проэксплуатировать любую версию Windows с помощью TrueType шрифта, встроенного в страницу сайта или файл какого-нибудь формата, например Word.

  • Утечка информации в Flash c помощью BitmapData.histogram() (CVE 2012-0769). Автор: Fermin Serna

    Данная уязвимость упрощает обход ASLR путем раскрытия информации об адресах загрузки системных библиотек.

  • Обход подписи iOS приложений (CVE 2011-3442). Автор: Charlie Miller

    Чарли Миллер написал приложение, с помощью которого он смог загружать и выполнять неподписанный код на устройствах iOS. За что был исключен из iOS Developer Program на 1 год.

Победители: Сергей Глазунов и Pinkie Pie

Лучшая уязвимость на стороне сервера.

Премия в данной номинации присуждается тому, кто проэксплуатировал или обнаружил наиболее сложную и интересную уязвимость на серверной стороне.

  • TNS Poison Attack (CVE-2012-1675). Автор Joxean Koret.

    Данная уязвимость позволяет провести MITM атаку на базу данных Oracle.

  • ProFTPD Response Pool Use-after-Free (CVE-2011-4130). Автор: Пожелал остаться неизвестным.

    Уязимость позволяет удаленно выполнить код на ProFTPD сервере.

  • Обход аутентификации в MySQL (CVE-2012-2122). Автор: Сергей Голубчик

    Детальное описание уязвимости можно прочитать в блоге HD Moor'а

  • Уязвимость в WordPress Timthumb Plugin 'timthumb' Cache Directory (CVE-2011-4106). Автор: Mark Maunder

    Данная уязвимость позволяет загрузить и испольнить PHP-файл в одной из директорий, принадлежащих плагину.

Победитель: Сергей Голубчик

Лучшая уязвимость, приводящая к повышению привилегий.

Премия в данной номинации присуждается тому, кто проэксплуатировал или обнаружил наиболее сложную и интересную уязвимость, приводящую к повышению привелегий.

Победитель: Mateusz «j00ru» Jurczyk

Самая инновационная публикация.

Премия в данной номинации присуждается тому, кто написал интересную и инновационную публикацию.

Победитель: Travis Goodspeed

Самая лучшая песня.

Победитель: Dual Core

Самый эпичный фэйл

В номинации участвуют компании или люди, совершившие эпичные фэйлы.

Победитель: F5 Network

Epic 0wnage.

В номинации Epic 0wnage участвуют хакеры, чьи действия привели к наибольшему урону, широкому освещению в СМИ или же просто забавные взломы.

  • MD5 коллизия в вирусе «Flame», которая позволила ему распространять себя по сети через Windows Update.
  • Уязвимости центров сертификации.
  • iOS джейлбрейки. Авторы: iPhone Dev Team and Chronic Dev Team

Победители: Авторы Flame

Автор: ahtox74

* - обязательные к заполнению поля