На соревновании Pwn2Own 2022 продемонстрировано 5 взломов Ubuntu
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Подведены итоги трёх дней соревнований Pwn2Own 2022, ежегодно проводимых в рамках конференции CanSecWest. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams и Firefox. Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,155,000 долларов США.
На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Одна премия в 40 тысяч долларов была выплачена за демонстрацию локального повышения привилегий в Ubuntu Desktop через эксплуатацию двух проблем, связанных с переполнением буфера и двойным освобождением памяти. Четыре премии, размером 40 тысяч долларов каждая, были выплачены за демонстрацию повышения привилегий через эксплуатацию уязвимостей, связанных с обращением к памяти после её освобождения (Use-After-Free).
В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.
Другие успешные атаки:
- 100 тысяч долларов за разработку эксплоита к Firefox, позволившего при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе.
- 40 тысяч долларов за демонстрацию эксплоита, использующего переполнение буфера в Oracle Virtualbox для выхода из гостевой системы.
- 50 тысяч долларов за эксплуатацию Apple Safari (переполнение буфера).
- 450 тысяч долларов за взломы Microsoft Teams (разные команды продемонстрировали три взлома с наградой по 150 тысяч за каждый).
- 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию переполнений буфера и повышение своих привилегий в Microsoft Windows 11.
- 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию ошибки в коде проверки доступа для повышения своих привилегий в Microsoft Windows 11.
- 40 тысяч долларов за эксплуатацию целочисленного переполнения для повышения своих привилегий в Microsoft Windows 11.
- 40 тысяч долларов за эксплуатацию уязвимости, связанной с обращением к памяти после её освобождения (Use-After-Free), в Microsoft Windows 11.
- 75 тысяч долларов за демонстрацию атаки на информационно-развлекательную систему автомобиля Telsa Model 3. В эксплоите использовались ошибки, приводящие к переполнению буфера и двойному освобождению памяти, вместе с ранее известной техникой обхода sandbox-изоляции.
Предприняты, но не увенчались успехом, попытки взлома
Microsoft Windows 11, Tesla и Microsoft Teams. Заявок на демонстрацию эксплоитов в Google Chrome в этом году не было.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.zerodayinitiative....)
- OpenNews: Обновление Firefox 100.0.2 с устранением критических уязвимостей
- OpenNews: Уязвимости в подсистеме eBPF, позволяющие выполнить код на уровне ядра Linux
- OpenNews: На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft
- OpenNews: На соревновании Pwn2Own 2020 продемонстрированы взломы Ubuntu, Windows, macOS и VirtualBox
- OpenNews: В Pwn2Own 2020 увеличены выплаты за взлом Tesla и возвращена номинация за взлом Ubuntu
Похожие новости:
- На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft
- На соревновании Pwn2Own 2020 продемонстрированы взломы Ubuntu, Windows, macOS и VirtualBox
- В Pwn2Own 2020 увеличены выплаты за взлом Tesla и возвращена номинация за взлом Ubuntu
- [Информационная безопасность, Транспорт] Результаты Pwn2Own: Tesla Model 3 взломана, на ней поехал домой автор нового метода атаки
- Обновление Firefox 66.0.1 и Tor Browser 8.0.8 с устранением уязвимостей
- На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox
- В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla
- [Информационная безопасность, Транспорт будущего] На Pwn2Own предлагают Tesla Model 3 тому, кто взломает систему защиты электромобиля
- На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
Теги для поиска: #_pwn2own
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Апр 09:47
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Подведены итоги трёх дней соревнований Pwn2Own 2022, ежегодно проводимых в рамках конференции CanSecWest. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams и Firefox. Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,155,000 долларов США. На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Одна премия в 40 тысяч долларов была выплачена за демонстрацию локального повышения привилегий в Ubuntu Desktop через эксплуатацию двух проблем, связанных с переполнением буфера и двойным освобождением памяти. Четыре премии, размером 40 тысяч долларов каждая, были выплачены за демонстрацию повышения привилегий через эксплуатацию уязвимостей, связанных с обращением к памяти после её освобождения (Use-After-Free). В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.  Другие успешные атаки:
Microsoft Windows 11, Tesla и Microsoft Teams. Заявок на демонстрацию эксплоитов в Google Chrome в этом году не было. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Апр 09:47
Часовой пояс: UTC + 5