На Pwn2Own-2020 взломали Windows, Ubuntu и macOS и VirtualBox; конкурс впервые прошёл по сети


    Источник: Zero Day Initiative

    Организаторы конкурса Pwn2Own подвели итоги мероприятия. В этом году состязание, которое обычно проходит в Канаде в рамках конференции по информационной безопасности CanSecWest, впервые состоялось в онлайн-режиме из-за вспышки COVID-19. Участники заранее отправили эксплойты организаторам Pwn2Own, которые запускали код во время прямой трансляции.

    За два дня соревнований шести командам удалось скомпрометировать такие приложения и операционные системы, как Windows, macOS, Ubuntu, Safari, Adobe Reader и Oracle VirtualBox. Все баги, обнаруженные в ходе конкурса, были немедленно доведены до сведения соответствующих компаний.

    В первый день участники попытались осуществить четыре эксплойта, и все попытки оказались успешными. Команда SSlab (Systems Software & Security Lab) Технологического института Джорджии использовала цепочку эксплойтов, нацеленных на macOS, которые позволили им расширить привилегии в Safari до root. Эта победа принесла им $70 тыс. и 7 очков Master of Pwn. В этот же день Манфред Пол из команды RedRocket CTF, новичок конкурса, осуществил эксплойт Ubuntu Desktop с повышением привилегий, что принесло ему $30 тыс. и 3 очка Master of Pwn.

    Во второй день соревнований команда STAR Labs получила $40 тысяч и 4 очка Master of Pwn за демонстрацию эксплойта для VirtualBox.

    Победителем конкурса стала команда Fluoroacetate, в составе которой — Амат Кама и Ричард Чжу. В первый же день Pwn2Own команда заработала 4 очка Master of Pwn и $40 тысяч за эксплойт локального повышения привилегий на Windows 10. Другой эксплойт повышения привилегий, также направленный на Windows 10, выполнил один Чжу, также заработав $40 тысяч. На второй день соревнований команда заработала ещё $50 тысяч за эксплойт с использованием уязвимостей Adobe Reader и ядра Windows. Fluoroacetate не первый раз участвует в Pwn2Own и победила в трёх последних конкурсах, которые состоялись в ноябре 2018 года, в марте и ноябре 2019 года. Победа на ноябрьском конкурсе принесла им почти $200 тысяч и автомобиль Tesla.

    Единственной неудачной попыткой эксплойта стала попытка команды Synacktiv взломать VMware Workstation — команда не смогла продемонстрировать свой эксплойт за отведенное время. Всего в ходе соревнований участники заработали $270 тысяч.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 8

      +2

      «Если бы строители строили здания так же, как программисты пишут программы, первый залетевший дятел разрушил бы цивилизацию»

        0

        Тогда садитесь на воздушный шар и сваливайте оттуда, пока не поздно!!! (С)

          0
          Эх, не общаетесь вы с архитекторами и проектировщиками вентиляции…
          Из разряда, когда здание уже во всю льют, а в проекте вентиляцию ещё даже не наметили, а потом, что логично, долбят свежезалитый бетон. К сожалению, это текущий тренд во всех отраслях…
            0
            А еще иногда проектировщики рисуют проект по факту «как сделано»… разве что не заморачиваются кривизной укладки)
              0
              Ушёл строить частный дом
                0
                главное до строительства «прогнать» проект/тз через строительные форумы — можно будет узнать о проекте и себе много нового)
                  0
                  С учетом, как родственникам нехороший теремок собрал каркасник, проект — ни что. исполнение — всё.
                  Но вообще это была шутка о мечтах, в реальности погружение в пучины ремонта новостройки.
                    0
                    Собственно погружение — навсегда. Ну или до продажи своего дома)

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое