並且參與者,地球上最好的白帽黑客和來自主要安全公司的研究人員同意私下提供所有研究,並且至少在 90 天內不發布。反過來,由趨勢科技的零日倡議主辦的比賽提供了堅實的獎品,被認為是一項巨大的投資,即預測網絡犯罪可能發生的事情,從而加強軟件和設備的安全性。
Pwn2Own 2022:沒有人抗拒
與往年一樣,被黑軟件的名單與目標一樣廣泛(各種類別的 21 種產品),開源軟件和專有軟件都沒有倖免。在為期三天的活動中,多個團隊成功入侵了 Windows 11、Microsoft Teams、Oracle VirtualBox、Mozilla Firefox、Apple Safari、Ubuntu Desktop 或 Tesla 車輛。
微軟的最新系統 Windows 11 是研究人員的首選目標之一,並展示了六個成功的漏洞利用,其中三個是零日漏洞。其中最有趣的是,他們強調了使用整數溢出(緩衝區溢出)方法的特權升級,以及使用內存地址錯誤導致拒絕服務和代碼執行的 Use-After-Free 攻擊,從而實現完全控制。命令。
兩個團隊使用相同的漏洞入侵運行 Ubuntu Desktop 的系統。這是一個有據可查的攻擊,它利用了應用程序管理內存的漏洞。在 Microsoft Teams 通信平台以及 Apple Safari 和 Mozilla Firefox 瀏覽器或 Oracle Virtualbox 虛擬化軟件中也發現了三個零日漏洞。
特斯拉 3 車輛的信息娛樂系統也被黑客入侵。汽車類別在 Pwn2Own 2019 上首次亮相,因為它被認為是智能/自動駕駛汽車出現的重要部分。然後,研究人員在網絡瀏覽器的渲染過程中使用 JIT 錯誤來執行汽車固件中的代碼,並在其信息娛樂系統中顯示一條消息。他拿了特斯拉作為獎品贈送的汽車。
Pwn2Own 2022 總共頒發了 120 萬美元的獎金。在以受控方式利用和披露漏洞後,軟件和硬件供應商有 90 天的時間為所有發現的漏洞發布適當的安全補丁。
有關 Pwn2Own 2022 的更多信息 | 零日倡議
發佈留言