Источник: Zero Day Initiative
Организаторы конкурса Pwn2Own подвели итоги мероприятия. В этом году состязание, которое обычно проходит в Канаде в рамках конференции по информационной безопасности CanSecWest, впервые состоялось в онлайн-режиме из-за вспышки COVID-19. Участники заранее отправили эксплойты организаторам Pwn2Own, которые запускали код во время прямой трансляции.
За два дня соревнований шести командам удалось скомпрометировать такие приложения и операционные системы, как Windows, macOS, Ubuntu, Safari, Adobe Reader и Oracle VirtualBox. Все баги, обнаруженные в ходе конкурса, были немедленно доведены до сведения соответствующих компаний.
В первый день участники попытались осуществить четыре эксплойта, и все попытки оказались успешными. Команда SSlab (Systems Software & Security Lab) Технологического института Джорджии использовала цепочку эксплойтов, нацеленных на macOS, которые позволили им расширить привилегии в Safari до root. Эта победа принесла им $70 тыс. и 7 очков Master of Pwn. В этот же день Манфред Пол из команды RedRocket CTF, новичок конкурса, осуществил эксплойт Ubuntu Desktop с повышением привилегий, что принесло ему $30 тыс. и 3 очка Master of Pwn.
Во второй день соревнований команда STAR Labs получила $40 тысяч и 4 очка Master of Pwn за демонстрацию эксплойта для VirtualBox.
Победителем конкурса стала команда Fluoroacetate, в составе которой — Амат Кама и Ричард Чжу. В первый же день Pwn2Own команда заработала 4 очка Master of Pwn и $40 тысяч за эксплойт локального повышения привилегий на Windows 10. Другой эксплойт повышения привилегий, также направленный на Windows 10, выполнил один Чжу, также заработав $40 тысяч. На второй день соревнований команда заработала ещё $50 тысяч за эксплойт с использованием уязвимостей Adobe Reader и ядра Windows. Fluoroacetate не первый раз участвует в Pwn2Own и победила в трёх последних конкурсах, которые состоялись в ноябре 2018 года, в марте и ноябре 2019 года. Победа на ноябрьском конкурсе принесла им почти $200 тысяч и автомобиль Tesla.
Единственной неудачной попыткой эксплойта стала попытка команды Synacktiv взломать VMware Workstation — команда не смогла продемонстрировать свой эксплойт за отведенное время. Всего в ходе соревнований участники заработали $270 тысяч.
v1000
«Если бы строители строили здания так же, как программисты пишут программы, первый залетевший дятел разрушил бы цивилизацию»
vladkorotnev
Тогда садитесь на воздушный шар и сваливайте оттуда, пока не поздно!!! (С)
Am0ralist
Эх, не общаетесь вы с архитекторами и проектировщиками вентиляции…
Из разряда, когда здание уже во всю льют, а в проекте вентиляцию ещё даже не наметили, а потом, что логично, долбят свежезалитый бетон. К сожалению, это текущий тренд во всех отраслях…
d-stream
А еще иногда проектировщики рисуют проект по факту «как сделано»… разве что не заморачиваются кривизной укладки)
Am0ralist
Ушёл строить частный дом
d-stream
главное до строительства «прогнать» проект/тз через строительные форумы — можно будет узнать о проекте и себе много нового)
Am0ralist
С учетом, как родственникам нехороший теремок собрал каркасник, проект — ни что. исполнение — всё.
Но вообще это была шутка о мечтах, в реальности погружение в пучины ремонта новостройки.
d-stream
Собственно погружение — навсегда. Ну или до продажи своего дома)