Senki sincs biztonságban a Pwn2Own 2019-ben, mivel az Edge, a Firefox, a Safari és a Tesla esik

Kezdőlap » Hírek

Olvasási idő ikonra 4 perc olvas

Naptár ikonra Frissítve

by Surur Davids 

frissítve

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

A Pwn2Own 2019 jelenleg fut, és ha van valami, amit a verseny csodálatosan bizonyít, az az, hogy nincs olyan, hogy teljesen biztonságos rendszer.

Az elmúlt két napban a hackerek egy speciálisan kialakított weboldal meglátogatásával legyőzték a Safarit MacOS-en, az Edge-t Windows 10-en, a Firefoxot Windows 10-en, és két virtuális gépből is sikerült kiszabadulniuk, és képesek voltak kódot futtatni. a natív hardver.

Tekintse meg az alábbi összegyűjtött eredményeket:

Day One

1000.) - Fluor-acetát (Amat Cama és Richard Zhu) az Apple Safarit és a sandbox escape-t célozza meg a webböngésző kategóriában.

Siker: – A Fluoroacetate csapat egy bugot használt a JIT-ben halom túlcsordulással, hogy elkerülje a homokozót. Ezzel 55,000 5 dollárt és XNUMX Master of Pwn pontot szereznek.

1130.) - Fluor-acetát (Amat Cama és Richard Zhu) az Oracle VirtualBoxot célozták meg a virtualizációs kategóriában.

Siker: – A Fluoroacetate csapat egész alulcsordulással és versenyfeltétellel tért vissza, hogy elkerülje a virtuális gépet és a számítást az alapul szolgáló operációs rendszeren. További 35,000 3 dollárt és XNUMX pontot szereztek Master on Pwn-en.

1300.) - anhdaden of STAR Labs Oracle VirtualBoxot célozva a virtualizációs kategóriában.

Siker: - anhdaden egész alulcsordulást használ az Orcale VirtualBoxban, hogy az ügyfélről az alapul szolgáló operációs rendszerre lépjen. Első Pwn2Ownjával 35,000 3 USD-t és XNUMX Master of Pwn pontot szerez magának.

1430.) - Fluor-acetát (Amat Cama és Richard Zhu) a VMware Workstationt célozzák meg a virtualizációs kategóriában.

Siker: – A Fluoroacetate páros az első napjukat azzal fejezte be, hogy kihasználta a versenyfeltételt, ami határon túli íráshoz vezetett a VMware kliensben, hogy végrehajtsa a kódját a gazdagép operációs rendszeren. A játékosok további 70,000 7 dollárt és további XNUMX Master of Pwn pontot szereznek.

1600 – Phoenhex és qwerty (@_niklasb @qwertyoruiopz @bkth_), amely az Apple Safarit célozza meg kernel-eszkalációval a webböngésző kategóriában.

Részleges siker A phoenhex & qwerty csapata JIT bugot használt, amelyet halom OOB olvasás követett, majd egy TOCTOU bug segítségével rootról kernelre váltott. Ez egy részleges győzelem, mivel az Apple már tudott 1 hibát. Még mindig 45,000 4 dollárt és XNUMX pontot nyernek a Master of Pwn felé.

Második nap

1000.) - Fluor-acetát (Amat Cama és Richard Zhu) a Mozilla Firefoxot célozzák meg kernel-eszkalációval a webböngésző kategóriában.

Siker: – A Fluoroacetate csapat egy hibát használt a JIT-ben, valamint egy határon túli írást a Windows kernelben, hogy 50,000 5 dollárt és XNUMX Master of Pwn pontot szerezzenek.

1130.) - Fluor-acetát (Amat Cama és Richard Zhu) a Microsoft Edge-t célozza meg kernel-eszkalációval és VMware-kilépéssel a webböngésző kategóriában.

Siker: – A Fluoroacetate csapat egy típuszavart használt az Edge-ben, egy versenyfeltételt a kernelben, és végül egy határon túli írást a VMware-ben, hogy a virtuális kliens böngészőjéből a gazdagép operációs rendszeren végrehajtott kódra váltson. 130,000 13 dollárt és XNUMX Master of Pwn pontot kapnak.

1400.) - Niklas Baumstark a Mozilla Firefox megcélzása egy sandbox escape-szel a webböngésző kategóriában.

Siker: – Niklas egy JIT-hibát használt a Firefoxban, majd egy logikai hibát a sandbox-meneküléshez. A sikeres bemutató 40,000 4 dollárt és XNUMX Master of Pwn pontot szerzett.

1530.) - Gerkis Arthur Exodus Intelligence, amely a Microsoft Edge-et célozza meg egy sandbox escape-szel a webböngésző kategóriában.

Siker: – A Pwn2Own debütálása során Arthur egy dupla ingyenes renderelést és logikai hibát használt a homokozó megkerülésére. Az erőfeszítéssel 50,000 5 dollárt és XNUMX pontot ért a Master of Pwn felé.

Harmadik nap

1000.) - KunnaPwn csapat a Tesla Model 3 VCSEC komponensét célozva meg az autóipari kategóriában.

Visszavont: – A Team KunnaPwn csapata visszavonta nevezését az autós kategóriából.

1300.) - Fluor-acetát (Amat Cama és Richard Zhu) az infotainment rendszert (Chromium) célozták meg a Tesla Model 3 autóipari kategóriában.

Siker: – A Fluoroacetate duó egy JIT hibát használt a rendererben, hogy 35,000 3 dollárt és egy Model XNUMX-at nyerjen.

Míg a hackerek több százezer dollárt kerestek a verseny során, a végső cél az, hogy ezeket a sebezhetőségeket lezárják, mielőtt a rosszindulatú szereplők felhasználhatnák őket ellenünk, de továbbra is aggasztó, hogy akárhány lyuk is legyen. a cégeknek sikerül befoltozniuk, a hackerek a következő évben még mindig új sérülékenységekkel térhetnek vissza.

Az eseményről bővebben itt olvashat a Zero Day Initiative blog itt.

Bővebben a témákról: él, firefox, szafari, biztonság

Surur Davids

Surur Davids Shield

Okostelefon szakértő

Surur Davids a WMPoweruser alapítója, amely később MSPoweruser.com lett. Több mint egy évtizedes tapasztalattal rendelkező okostelefon-szakértő.