編輯:左右裡
Pwn2Own是全世界最著名、獎勵最豐厚的黑客大賽之一,由趨勢科技零日計劃(ZDI)組織舉辦,每年都會吸引到不少頂尖黑客參與其中。Pwn2Own的攻擊目標包括IE、Chrome、Safari、Firefox、Adobe Flash和AdobeReader等。
比賽第一天的所有攻擊嘗試都取得了成功,參賽者們利用Microsoft Teams、Oracle VirtualBox、Firefox、Windows 11、Ubuntu和Safari的16個漏洞,贏得了共80萬美元獎金。
第二天,Synacktiv團隊針對特斯拉Model 3資訊娛樂系統演示兩個漏洞(Double-Free和OOBW)和沙盒逃逸,奪得75000美元。To演示了一個由不當訪問控制錯誤導致的Windows 11零日許可權提升漏洞。Windows 11中的另外兩個本地許可權提升漏洞由STAR Labs團隊和Marcin Wiązowski成功演示。
另外,Ubuntu Desktop也遭攻破,Bien Pham和Team TUTELARY使用兩個Use After Free漏洞提升了許可權,每個漏洞為其賺取了40000美元。
第三天,來自Viettel Cyber Security的nghiadt12演示了通過整數溢位實現的Windows 11許可權提升。vinhthp1712和來自REverse Tactics的Bruno Pujos也分別使用Propert Access Control和Use After Free漏洞實現了在Windows 11上的許可權提升。
來自STAR Labs的Billy Jheng Bing-Jhong則使用Use AfterFree漏洞成功入侵了一個執行Ubuntu Desktop的系統。
Pwn2Own 2022溫哥華黑客大賽以17名參賽者共斬獲1155000美元告終,安全研究人員們在比賽期間展示了六個Windows 11漏洞,四次入侵Ubuntu Desktop,並演示了三個Microsoft Teams零日漏洞。此外,他們還報告了Apple Safari、Oracle Virtualbox和Mozilla Firefox中的幾個漏洞。
對於在 Pwn2Own 期間演示的安全漏洞,在比賽後會向供應商報告,他們有 90 天的時間來開發和釋出所有報告漏洞的安全修復程式,然後趨勢科技ZDI會公開披露這些漏洞。
資訊來源:bleepingcomputer
轉載請註明出處和本文連結
每日漲知識
證書(certificate)
被認可的個人公鑰的副本,用於驗證他們的身份。
推薦文章++++
* 日經新聞亞洲總部遭勒索軟體攻擊
* Conti勒索軟體團伙威脅要推翻哥斯大黎加政府
* 美國指控委內瑞拉醫生製作並銷售勒索軟體工具
* 俄羅斯黑客組織向英美德等十國政府宣戰
* 蘋果商店將下架長期不更新的應用程式
* 微軟釋出五月累積更新,修復74個安全漏洞
* 多數巴西公司在遭受勒索軟體攻擊後選擇拒絕支付贖金
﹀
﹀
﹀