2023年3月22日至24日,趨勢科技ZDI在溫哥華舉辦了新一屆Pwn2Own大賽,這次大賽共分7個類別,包括虛擬機器、web瀏覽器、企業應用、伺服器、本地提權、企業通訊以及汽車,賽事獎池超過百萬美元。
據悉,本次比賽仍然是混合參賽模式,參賽選手可自由選擇遠端或現場參賽。知名車企特斯拉成為了本次大賽的合作伙伴,併為大賽提供特斯拉Model 3和Model S作為參賽選手們的攻擊目標,最高獎勵是60萬美元外加汽車本身。
Pwn2Own 溫哥華 2023大賽第一天的結果已經出爐。當天參賽選手們共進行了8次攻擊嘗試。其中成功的有:Haboob SA的AbdulAziz Hariri對Adobe Reader的攻擊;STAR Labs對Microsoft SharePoint的攻擊;來自Qrious Security的Bien Pham使用OOB Read和基於堆疊的緩衝區溢位來利用Oracle VirtualBox;以及Synacktiv使用TOCTOU漏洞攻擊特斯拉閘道器等。其中選手贏取的單項最高獎金為10萬美元和10個Pwn大師積分,另外還有一輛特斯拉Model 3。這一天大賽總共為選手們頒發了375000美元的獎金。
Pwn2Own大賽第二天的比賽結果也已經公佈。Synacktiv、Team Viettel等團隊分別成功攻擊了Oracle VirtualBox、Microsoft Teams等目標,該比賽日共為10個零日漏洞頒發了475000美元獎金。
在比賽的第三天也是最後一天,這些安全研究員們將嘗試利用Ubuntu Desktop、Microsoft Teams、Windows 11以及VMware Workstation中的零日漏洞。
按照慣例,對於在Pwn2Own大賽期間演示和披露的零日漏洞,供應商有 90 天的時間為其建立及釋出安全修復程式,在這之後趨勢科技ZDI將公開披露這些漏洞。
在去年那一屆溫哥華Pwn2Own大賽中,安全研究員們共六次入侵Windows 11、四次攻擊Ubuntu桌面,成功演示了3次Microsoft Teams零日漏洞利用,此外他們還報告了Apple Safari,Oracle Virtualbox和Mozilla Firefox中的幾個零日漏洞,併成功入侵了特斯拉Model 3資訊娛樂系統。這些成果共為他們贏得了1155000美元獎金。
編輯:左右裡
資訊來源:www.zerodayinitiative.com
轉載請註明出處和本文連結
每日漲知識
緩衝區溢位(buffer overflow)
這種脆弱性會導致系統崩潰,或者允許使用者執行 shell 命令並獲得對系統的訪問許可權。緩衝區溢位脆弱性在使用 CGI 或其他語言快速開發的 Web 程式碼中尤為普遍,快速程式碼開發允許沒有經驗的程式設計人員快速生成互動式的網頁。
﹀
﹀
﹀