Pwn2Own 2020 春季賽落下帷幕，Fluoroacetate 團隊成最大贏家

兩天時間裡，六支參賽隊伍成功地入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader 和 Oracle VirtualBox 等應用程式和作業系統。

每年春季在加拿大溫哥華 CanSecWest 網路安全會議上舉辦的 Pwn2Own 黑客大賽剛剛落下帷幕，今年的大贏家是由安全研究人員 Amat Cama 和 Richard Zhu 組成的 Fluoroacetate 團隊。在為期兩天的比賽中，他們累計拿到了 9 個積分，並在四場比賽中將優勢保持到了最後。

受新冠病毒疫情的影響，本屆 Pwn2Own 賽事的情況有很大的不同。因為全球多地實施了旅行限制，導致大量安全研究人員無法或不願前往參賽。出於安全健康的考慮，今年的 Pwn2Own 黑客大賽也轉到了線上進行。選手們預先將漏洞利用發給賽事主辦方，然後在現場直播中與所有參與者一起執行了相關程式碼。

兩天時間裡，六支參賽隊伍成功地入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader 和 Oracle VirtualBox 等應用程式和作業系統。期間利用的所有漏洞，均立即向關聯企業進行了彙報。

漏洞爆破方面，喬治亞技術系統軟體和安全實驗室（SSLab_Gatech）團隊在首日率先得分。團隊成員 Yong Hwi Jin（@ jinmo123）、Jungwon Lim（@ setuid0x0_）和 Insu Yun（@insu_yun_en）主要利用了 Safari 這個跳板。通過一連串共六個漏洞，將計算器應用彈出到 macOS 上，最終實現了 macOS 核心提權攻擊，這讓他們奪得 7 萬美元獎金和 7 個 Pwn 積分。

第二個是 use-after-free 漏洞利用，Flourescence（Richard Zhu）藉此向微軟 Windows 作業系統發起了本地提權攻擊，奪得 4 萬美元獎金和 4 個 Pwn 積分。

第三個漏洞利用是 RedRocket CTF 團隊的 Manfred Paul 向 Ubuntu 桌面發起的本地提權攻擊，獲得 3 萬美元獎金和 3個 Pwn 積分。

第四個起攻擊利用了 use-after-free 漏洞，Fluoroacetate 團隊的 Amat Cama 和 Richard Zhu 藉此達成了 Windows 的本地提權，獲得 4 萬美元獎金和 4 個 Pwn 積分。

第五個漏洞由 STAR Labs 的 Phi Phạm Hồng（@4nhdaden）在次日率先用於攻破 VirtualBox 虛擬機器，為其贏得 4 萬美元獎金和 4 個 Pwn 積分。

第六個漏洞利用還是 Amat Cama 和 Richard Zhu 聯手實現，但這次目標換成了通過 Adobe Reader 達成 Windows 本地提權，獲 5 萬美元獎金和 5 個 Pwn 積分。

第七個是 Synacktiv 團隊的 Corentin Bayet（@OnlyTheDuck）和 Bruno Pujos（@BrunoPujos）的 VMware Workstation 虛擬機器漏洞利用，可惜的是未能在規定時間內證明。

來源：cnBeta.COM

更多資訊

攪局者惡意共享不良圖片 不少 Zoom 會議被迫中斷

近幾周隨著隨著視訊會議應用 Zoom 的使用者群迅速擴大，一些攪局者或惡作劇者開始在會議中共享不良內容，這讓主持人和其他使用者頭疼不已。在新型冠狀病毒不斷蔓延的情況下，Zoom 已經成為數百萬人的預設社交平臺。民眾在保持與他人距離的同時，也希望疫情期間與朋友、家人、學生和同事建立聯絡。

來源：cnBeta.COM

新華網談網路“雲盤”：比容量更重要的是安全

有自媒體日前在網上發文，稱360安全雲盤出現問題，檔案消失，充值後會員時間並未疊加。這一事件，引發了人們對網路“雲盤”安全的擔憂。網路雲盤企業如何提供更好的網路服務，保障使用者資訊保安，成為雲端儲存行業健康發展的迫切問題。

來源：新華網

受疫情影響 微軟 Edge 宣佈緊跟谷歌 Chrome 團隊暫停新版開發

受新冠病毒疫情大流行帶來的停工影響，谷歌已於幾日前宣佈將暫停釋出 Chrome 瀏覽器和 Chrome OS 的新版本。現在，基於 Chromium 核心的 Microsoft Edge 開發團隊也決定採取同樣的版本號凍結措施。與 Google Chrome 一樣，Chromium Edge 也有每日更新的 Canary、以及每週更新的 Dev 版本。

來源：cnBeta.COM

 

（資訊來源於網路，安華金和蒐集整理）