Joka vuosi Zero Day Initiative isännöi 'Pwn2Own'-hakkerointikilpailua, jossa tietoturvatutkijat voivat ansaita rahaa löytääkseen vakavia haavoittuvuuksia tärkeimmiltä alustoilta, kuten Windows ja macOS.
Tämä 2021 Pwn2Own-virtuaalitapahtuma käynnistyi aiemmin tällä viikolla, ja se sisälsi 23 erillistä hakkerointiyritystä 10 eri tuotteessa, mukaan lukien verkkoselaimet, virtualisointi, palvelimet ja paljon muuta. Tämän vuoden Pwn2Own-tapahtuma on kolmipäiväinen, ja se kestää useita tunteja päivässä.
Applen tuotteita ei kohdistettu voimakkaasti Pwn2Own 2021:ssä, mutta ensimmäisenä päivänä RET2 Systemsin Jack Dates suoritti Safarin ytimen nollapäivän hyväksikäytön ja ansaitsi itselleen 100 000 dollaria. Hän käytti kokonaislukujen ylivuotoa Safarissa ja OOB-kirjoitusta saadakseen ydintason koodin suorittamisen, kuten alla olevassa twiitissä esitetään.
Onnittelut Jack! Yhden napsautuksen Apple Safarin laskeutuminen ytimen nollapäivään klo # Pwn2Own 2021 RET2:n puolesta: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) 6. huhtikuuta 2021
Muut hakkerointiyritykset Pwn2Own-tapahtuman aikana kohdistuivat Microsoft Exchangeen, Parallelsiin, Windows 10:een, Microsoft Teamsiin, Ubuntuun, Oracle VirtualBoxiin, Zoomiin, Google Chromeen ja Microsoft Edgeen.
Vakavan Zoomin puutteen osoittivat esimerkiksi hollantilaiset tutkijat Daan Keuper ja Thijs Alkemade. Kaksikko hyödynsi kolmea puutetta saadakseen kohdetietokoneen täydellisen hallinnan Zoom-sovelluksen avulla ilman käyttäjän toimia.
Vahvistamme edelleen asian yksityiskohtia #Zoomaus hyödyntää Daanin ja Thijsin kanssa, mutta tässä on parempi gif bugista toiminnassa. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW - Zero Day Initiative (@thezdi) 7. huhtikuuta 2021
Pwn2Own-osallistujat saivat yli 1,2 miljoonaa dollaria palkintoja löytämistään vioista. Pwn2Own antaa Applen kaltaisille myyjille 90 päivää aikaa korjata havaitut haavoittuvuudet, joten voimme odottaa, että bugi korjataan päivityksessä lähitulevaisuudessa.
Suosittu Viestiä