Iniciativa Zero Day vsako leto gosti tekmovanje za hekerje 'Pwn2Own', kjer lahko varnostni raziskovalci zaslužijo denar za iskanje resnih ranljivosti na večjih platformah, kot sta Windows in macOS.
Ta virtualni dogodek 2021 Pwn2Own se je začel v začetku tega tedna in je vseboval 23 ločenih poskusov vdiranja v 10 različnih izdelkih, vključno s spletnimi brskalniki, virtualizacijo, strežniki in še več. Letošnji dogodek Pwn2Own je bil tridnevna afera, ki traja več ur na dan, v živo prenašana na YouTubu.
Appleovi izdelki niso bili močno usmerjeni v Pwn2Own 2021, toda prvi dan je Jack Dates iz RET2 Systems izvedel izkoriščanje ničelnega dne Safari v jedro in si zaslužil 100.000 $. Za izvedbo kode na ravni jedra je uporabil prelivanje celega števila v Safariju in zapis OOB, kot je prikazano v spodnjem tvitu.
Čestitke Jack! Pristanek Apple Safari z enim klikom na Kernel Zero-day at # Pwn2Own 2021 v imenu RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — sistemi RET2 (@ret2systems) 6. april 2021
Drugi poskusi vdiranja med dogodkom Pwn2Own so bili usmerjeni na Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome in Microsoft Edge.
Resno napako Zooma sta na primer pokazala nizozemska raziskovalca Daan Keuper in Thijs Alkemade. Duo je izkoristil trio pomanjkljivosti, da bi dobil popoln nadzor nad ciljnim osebnim računalnikom z uporabo aplikacije Zoom brez uporabniške interakcije.
Še vedno potrjujemo podrobnosti #Povečava izkoristite z Daanom in Thijsom, toda tukaj je boljši gif hrošča v akciji. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Pobuda Zero Day (@thezdi) 7. aprila 2021
Udeleženci Pwn2Own so prejeli več kot 1,2 milijona dolarjev nagrad za hrošče, ki so jih odkrili. Pwn2Own daje prodajalcem, kot je Apple, 90 dni, da pripravijo popravek za odkrite ranljivosti, zato lahko pričakujemo, da bo napaka odpravljena v posodobitvi v ne tako oddaljeni prihodnosti.
Priljubljene Objave