- PVSM.RU - https://www.pvsm.ru -
Ежегодные соревнования «белых» взломщиков Pwn2Own 2021 состоялись [1] и в этом году. Конечно, онлайн, поскольку пандемия никуда не делась. Участников попросили попробовать взломать 23 разных продукта, чтобы продемонстрировать ранее неизвестные уязвимости и способы их эксплуатации.
Участники соревнования успешно взломали Ubuntu Desktop, Windows 10, Сhrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams и Zoom. Как всегда, взламывались продукты с последними обновлениями, а не устаревшие версии. Призовой фонд соревнования в этом году составил $1 500 000, из них было выплачено $1 200 000.
Участники предприняли три попытки взломать Ubuntu Desktop. Из них засчитано две: победители этой секции показали способ локального повышения привилегий через эксплуатацию ранее неизвестных уязвимостей. Они связаны с переполнением буфера и двойным освобождением памяти. Подробности станут известны через 90 дней — именно столько дается разработчикам взломанных продуктов для ликвидации проблем. Ну а призовой фонд здесь составил $30 000.
Что касается третьей попытки, то она удалась лишь частично. Эксплоит при этом сработал, дав возможность получить root-привилегии. Но, как оказалось, эта проблема уже была известна разработчикам Ubuntu и они как раз ее фиксили.
Еще одна успешная атака была предпринята в отношении движка Chromium — Google Chrome и Microsoft Edge. Участникам секции удалось создать эксплоит, дающий злоумышленнику возможность выполнить код при открытии специально подготовленной страницы в Chrome и Edge (был создан один универсальный эксплоит для двух браузеров). Награда за успех здесь была больше, чем в случае Ubuntu, — сразу $100 000. Исправление, насколько известно, планируется опубликовать в ближайшие часы. После этого будут технические подробности.
Кроме уже названных, были и другие успешные атаки. В их числе:
Ну и на номинации Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP и Adobe Reader не оказалось претендентов. Кроме того, никто не пробовал взломать информационную систему электромобиля Tesla, хотя премия там составляла целых $600 000.
Автор: Denis
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/vzlom/363231
Ссылки в тексте:
[1] состоялись: https://www.zerodayinitiative.com/blog/2021/4/2/pwn2own-2021-schedule-and-live-results
[2] Источник: https://habr.com/ru/post/550182/?utm_source=habrahabr&utm_medium=rss&utm_campaign=550182
Нажмите здесь для печати.