Každý rok pořádá Zero Day Initiative hackerskou soutěž „Pwn2Own“, kde mohou bezpečnostní výzkumníci vydělávat peníze za nalezení vážných zranitelností na hlavních platformách, jako jsou Windows a macOS.
Tato virtuální událost 2021 Pwn2Own začala začátkem tohoto týdne a představovala 23 samostatných pokusů o hackování v 10 různých produktech včetně webových prohlížečů, virtualizace, serverů a dalších. Letošní událost Pwn2Own, třídenní záležitost, která trvá několik hodin denně, byla živě přenášena na YouTube.
Produkty Apple nebyly v Pwn2Own 2021 výrazně zacíleny, ale prvního dne Jack Dates z RET2 Systems provedl využití Safari na jádro zero-day a vydělal si 100 000 $. Použil přetečení celého čísla v Safari a zápis OOB, aby získal spuštění kódu na úrovni jádra, jak je ukázáno v tweetu níže.
Gratulujeme Jacku! Přistání jedním kliknutím Apple Safari to Kernel Zero-day v # Pwn2Own 2021 jménem RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — Systémy RET2 (@ret2systems) 6. dubna 2021
Další pokusy o hackování během události Pwn2Own byly zaměřeny na Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome a Microsoft Edge.
Vážnou chybu Zoom prokázali například nizozemští vědci Daan Keuper a Thijs Alkemade. Dvojice využila trojici nedostatků, aby získala úplnou kontrolu nad cílovým počítačem pomocí aplikace Zoom bez interakce uživatele.
Podrobnosti stále potvrzujeme #Zvětšení exploit s Daanem a Thijsem, ale tady je lepší gif chyby v akci. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Iniciativa Zero Day (@thezdi) 7. dubna 2021
Účastníci Pwn2Own obdrželi více než 1,2 milionu dolarů v odměnách za chyby, které objevili. Pwn2Own dává prodejcům, jako je Apple, 90 dní na to, aby opravili odhalené zranitelnosti, takže můžeme očekávat, že chyba bude vyřešena v aktualizaci v nepříliš vzdálené budoucnosti.
Populární Příspěvky