LINUXTALKS.CO

На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu

 

L


0

0

Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla. Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3.

На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Проблемы были вызваны двойным освобождением памяти (одна премия 30 тысяч долларов), обращением к памяти после освобождения (одна премии 30 тысяч долларов), некорректной работой с указателями (одна премия 30 тысяч долларов). В двух демонстрациях были использованы уже известные, но не исправленные уязвимости (две премии по 15 тысяч долларов). Кроме того, была предпринята шестая попытка атаки на Ubuntu, но эксплоит не сработал.

В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Другие успешные атаки:

  • Три взлома Oracle VirtualBox, в которых использовались уязвимости, вызванные обращением к памяти после освобождения, переполнением буфера и чтением из области вне буфера (две премии по 40 тысяч долларов и одна премия 80 тысяч долларов за эксплоит из 3 уязвимостей, позволивший выполнить код на стороне хоста).
  • Повышение привилегий в Apple macOS (премия 40 тысяч долларов).
  • Две атаки на Microsoft Windows 11, позволившие повысить свои привилегии (премии по 30 тысяч долларов). Уязвимости были вызванны обращением к памяти после освобождения и некорректной проверкой входных данных.
  • Атака на Microsoft Teams с использованием в эксплоите цепочки из двух ошибок (премия 75 тысяч долларов).
  • Атака на Microsoft SharePoint (премия 100 тысяч долларов).
  • Атака на VMWare Workstation, в которой использовано обращение к памяти после освобождения и неинициализированная переменная (премия 80 тысяч долларов).
  • Выполнение кода при обработке контента в Adobe Reader. Для атаки, обхода sandbox и обращения к запрещённому API использована сложная цепочка из 6 ошибок (премия 50 тысяч долларов).
  • Две атаки на информационно-развлекательную систему автомобиля Tesla и Gateway Tesla, позволившие получить root доступ. Размер первой премии составил 100 тысяч долларов и автомобиль Tesla Model 3, а второй - 250 тысяч долларов.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter

>>> Подробности

★★★☆☆

получила 530 тысяч долларов и автомобиль Tesla Model 3

Чому я не какир?... 😭😭😭

xwicked    
★★★★★
Windows / Chrome
Ответ на: комментарий от ashot

это нигде не работает без физического доступа к машине

amd_amd    
★★★★★
Linux / Chrome

Жаль, что не тестили kvm и FreeBSD.

odalist    
★★★★★★★
Linux / Firefox
Ответ на: комментарий от Kaschenko

то дизельную и с механикой

ага 😆😆😆

xwicked    
★★★★★
Windows / Chrome
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=90