Всяка година Zero Day Initiative е домакин на състезание за хакерство „Pwn2Own“, където изследователите по сигурността могат да печелят пари за намиране на сериозни уязвимости в големи платформи като Windows и macOS.
Това виртуално събитие 2021 Pwn2Own стартира по-рано тази седмица и включва 23 отделни опита за хакване в 10 различни продукта, включително уеб браузъри, виртуализация, сървъри и други. Тридневна афера, която обхваща няколко часа на ден, тазгодишното събитие Pwn2Own беше предавано на живо в YouTube.
Продуктите на Apple не бяха силно насочени в Pwn2Own 2021, но в първия ден Jack Dates от RET2 Systems изпълни експлойт с нулев ден от Safari до ядрото и си спечели 100 000 долара. Той използва препълване на цяло число в Safari и запис на OOB, за да получи изпълнение на код на ниво ядро, както е демонстрирано в туита по-долу.
Честито Джак! Кацане на Apple Safari с 1 щракване до Kernel Zero-day at # Pwn2Own 2021 г. от името на RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 системи (@ret2systems) 6 април 2021 г
Други опити за хакване по време на събитието Pwn2Own бяха насочени към Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome и Microsoft Edge.
Сериозен недостатък на Zoom беше демонстриран от холандските изследователи Daan Keuper и Thijs Alkemade, например. Дуото използва трио от недостатъци, за да получи пълен контрол над целевия компютър, използвайки приложението Zoom без взаимодействие с потребител.
Все още потвърждаваме подробностите за #Мащабиране експлоатирайте с Daan и Thijs, но ето по-добър gif на грешката в действие. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Инициатива нулев ден (@thezdi) 7 април 2021 г
Участниците в Pwn2Own получиха повече от 1,2 милиона долара награди за откритите грешки. Pwn2Own дава на доставчици като Apple 90 дни, за да направят корекция на разкритите уязвимости, така че можем да очакваме грешката да бъде адресирана в актуализация в недалечно бъдеще.
Популярни Публикации