Pwnie Awards 2020: наиболее существенные уязвимости и провалы в безопасности
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Определены победители ежегодной премии Pwnie Awards 2020, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности.
Основные победители (список претендентов):
- Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление уязвимости CVE-2020-10188, позволяющей удалённо атаковать встраиваемые устройства с прошивкой на базе Fedora 31 через переполнение буфера в telnetd.
- Лучшая ошибка в клиентском ПО. Победили исследователи, выявившие уязвимость в Android-прошивках Samsung, позволяющую без вовлечения пользователя получить доступ к устройству через отправку MMS.
- Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена за выявление уязвимости в bootrom Apple iPhones, iPads, Apple Watches и Apple TV на базе чипов A5, A6, A7, A8, A9, A10 и A11, позволяющей обойти верификацию (jailbreak) прошивок и организовать загрузку других ОС.
- Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена за выявление уязвимости Zerologon (CVE-2020-1472) в протоколе MS-NRPC и криптоалгоритме AES-CFB8, которая позволяет злоумышленнику получить права администратора в контроллере домена Windows или Samba.
- Наиболее инновационное исследование. Премия присуждена исследователям, показавшим возможность применения атак класса RowHammer против современных чипов памяти DDR4 для изменения содержимого отдельных битов динамической оперативной памяти (DRAM).
- Самая ламерская реакция производителя (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признан легендарный Дэниел Бернштейн (Daniel J. Bernstein), который 15 лет назад не посчитал серьёзной и не стал исправлять уязвимость (CVE-2005-1513) в qmail, так как для её эксплуатации требовалась 64-разрядная система с объёмом виртуальной памяти более 4ГБ. За 15 лет 64-разрядные системы на серверах вытеснили 32-разрядные, кардинально выросли объёмы поставляемой памяти, и в итоге был создан рабочий эксплоит, который мог применяться для атаки на системы с qmail в конфигурации по умолчанию.
- Наиболее недооценённая уязвимость. Премия присуждена за уязвимости (CVE-2019-0151, CVE-2019-0152) в механизме Intel VTd/IOMMU, позволяющие обойти защиту памяти и выполнить код на уровне System Management Mode (SMM) и Trusted Execution Technology (TXT), например, для подстановки rootkit-ов в SMM. Опасность проблемы оказалась существенно выше, чем предполагалось, и уязвимость оказалось нельзя так просто исправить.
- Самый большой провал (Most Epic FAIL). Премия присуждена компании
Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенеровать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
- Самое большое достижение. Премия присуждена за выявление серии уязвимостей (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567), позволяющих обойти все уровни защиты браузера Chromе и выполнить код в системе за пределами sandbox-окружения. Уязвимости были использованы для демонстрации удалённой атаки на устройства на базе платформы Android для получения доступа с правами root.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://pwnies.com/winners/...)
- OpenNews: Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности
- OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
- OpenNews: В рамках Pwnie Awards 2013 определены наиболее существенные уязвимости и провалы в безопасности
- OpenNews: Озвучены имена победителей Pwnie Awards 2011
Похожие новости:
- [AR и VR, Игры и игровые приставки] Half-Life: Alyx не попала в число номинантов на игру года из-за того, что в неё сыграли слишком мало изданий
- [Аналитика мобильных приложений, IT-компании] Победитель Apple Design Awards: статистически усреднённый портрет
- [Дизайн мобильных приложений, Разработка под iOS] Apple объявила победителей премии Design Awards 2020
- Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности
- Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
Теги для поиска: #_pwnies, #_awards
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 01:56
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Определены победители ежегодной премии Pwnie Awards 2020, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности. Основные победители (список претендентов):
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 01:56
Часовой пояс: UTC + 5