在此次的黑客大赛上,参赛队伍发现了Microsoft、Oracle 、Mozilla Firefox、Ubuntup、Apple Safari、Telsa中存在的漏洞问题。
微信搜索关注《Python学研大本营》
2022年温哥华Pwn2Own比已经落下了帷幕。在这为期三天的比赛中,前五支队伍一共获得了79.5万美元奖金。
而在此次的黑客大赛上,参赛队伍发现了Microsoft Teams、Microsoft Windows 11、Oracle Virtualbox、Mozilla Firefox、Ubuntu Desktop、Apple Safari、Telsa Model 3 Infotainment System中存在的漏洞问题。
下面让我们来看一下,在为期三天的比赛中这些黑客们发现的漏洞问题。
第一天
成功-Hector“p3rr0”Peralta能够针对Microsoft团队演示不正确的配置。他获得150000美元和15个Pwn大师积分。
成功-Billy Jheng Bing Jhong(@st424204)、Muhammad Alifa Ramdhan(@n0psledbyte)和Nguyễn Hoáng Thạch(@hi_ im_ d4rkn3ss)成功地使用OOB读取和OOB写入在Oracle Virtualbox上实现升级。他们赚取40000美元和4个Pwn大师积分。
成功-Masato Kinugawa能够对微软团队执行3个bug的注入链、错误配置和沙盒逃脱,获得150000美元和15个Pwn大师积分。
成功-Manfred Paul(@_ manfp)在Mozilla Firefox上成功演示了2个bug-原型污染和输入验证不当,为他赢得了100000美元和10个Pwn大师积分。
成功-Marcin Wiązowski能够在Microsoft Windows 11上执行越界写入权限升级,获得40000美元和4个Pwn Master points积分,并在随附的Microsoft团队白皮书中获得高度赞扬。
成功-海洋安全组织的Orca团队(Security.Sea.com)能够在Ubuntu桌面上执行2个bug-越界写入(OOBW)和免费使用(UAF)-获得40000美元和4个Pwn 大师积分。
成功-STAR Labs的Daniel Lim Wee Soong(@daniellimws)、Poh Jia Hao(@Chocologicall)、Li Jiantao(@CurseRed)和Ngo Wei Lin(@Creastery)在Microsoft团队中成功演示了他们对2个漏洞(注入和任意文件写入)的零点击攻击。他们赚取150000美元和15个Pwn大师积分。
成功-曼弗雷德·保罗(Manfred Paul)(@_ manfp)凭借在苹果Safari上的出色表现,成功获得了当天的第二场胜利,为他赢得了另外5万美元和5个Pwn大师积分。
成功-Phan Thanh Duy(@PTDuy和LêHữu Quang Linh(@linhlhq of STAR Labs)在Microsoft Windows 11上免费提升权限后,获得4万美元和4个Pwn大师积分。
成功-Keith Yeo(@kyeojy)在Ubuntu桌面上免费利用漏洞后,获得4万美元和4个Pwn大师积分。
第二天
成功与漏洞冲突-在当天的第一次尝试中,@Synacktiv的David BERARD和Vincent DEHORS与collison在Telsa Model 3信息娱乐系统的已知沙盒逃逸中演示了2个独特的漏洞(双重免费和OOBW)。他们赚取75000美元和7.5点Pwn大师积分,虽然他们没有完全赢得这辆车,但他们已经赚够了自己去买一辆!
失败-在第2天的第二次尝试中,namnp无法在分配的时间内利用Microsoft Windows 11进行攻击。
成功-Bien Pham(@bienpnn)能够在释放bug后执行一次使用,从而提升Unbuntu桌面上的权限,获得40000美元和4个Pwn 大师积分。
失败-@Jedar_LZ无法在分配的时间内完成今天的第二次特斯拉尝试。一个积极的方面是,@thedzi决定获得这次攻击的细节,并将其透露给特斯拉。
成功-T0成功显示了一个不正确的访问控制错误,导致Microsoft Windows 11上的权限提升-获得40000美元和4个Pwn大师积分。
成功-在第2天的最后一次尝试中,美国西北大学团队导师林振鹏(@Markak_)、陈月琪(@Lewis_ Chen_)和邢新宇(@xingxinyu)成功演示了在Ubuntu桌面上释放导致权限提升的bug后的使用。这为他赢得了40000美元和4个Pwn大师积分。
第三天
失败-在第3天的第一次尝试中,DoubleDragon团队:Theori的Yonghwi Jin(@jinmo123)和Enki的Yongjin Kim(@adm1nkyj1)无法利用Microsoft团队在分配的时间内工作的漏洞。尽管如此,在该团队中,Double Dragon能够对常规ZDI过程进行研究。
成功-Viettel Cyber Security的nghiadt12能够通过Microsoft Windows 11上的整数溢出成功显示权限升级-获得40000美元和4个Pwn大师积分。
成功-Billy Jheng Bing Jhong(@st424204)STAR Labs在Ubuntu桌面上免费攻击后成功演示了一个使用,获得了另外40000美元和4个Pwn 大师积分。
成功-vinhthp1712在Microsoft Windows 11上通过不正确的访问控制成功实现了权限提升。vinhthp1712获得40000美元和4个Pwn大师积分。
成功-在比赛的最后一次尝试中,来自REverse Tactics的Bruno PUJOS(@brunopujos)通过在Microsoft Windows 11上免费使用成功获得了特权提升。布鲁诺获得40000美元和4个Pwn大师积分。
今年,一共有17名参赛者21次尝试,Trend Micro和ZDI奖励1,155,000美元!
据悉,本次黑客大赛活动的合作伙伴特斯拉、Zoom和Microsoft以及赞助商VMware。参与比赛的研究人员和供应商为比赛期间发现和报告的内容提供修复。另外,供应商有90天的时间对所有披露的漏洞进行修复。
Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
参考文章:https://www.zerodayinitiative.com/blog/2022/5/18/pwn2own-vancouver-2022-the-results
推荐书单
《Python基础编程入门》
购买链接:https://item.jd.com/12750167.html
随着人工智能、大数据与云计算的发展,Python语言得到了越来越多的使用。
本书以工作过程为导向,采用项目驱动的方式组织内容。全书共分8章,第1章介绍了编程语言发展的历程及Python开发环境的搭建;第2章介绍了Python语言的缩进、注释、数据类型、字符串、运算符和表达式等;第3章介绍了顺序结构、选择结构和循环结构等程序控制流程;第4章介绍了列表、元组与字典等数据结构;第5章介绍了Python函数的定义与调用,以及其他高阶函数的使用;第6章介绍了Python的模块与包的使用方法;第7章阐述了Python面向对象的特性;第8章介绍了Python的文件操作与异常处理机制。
本书既可作为大数据、人工智能等相关专业应用型人才的教学用书,也可以作为Python初学者的学习参考书。
精彩回顾
微信搜索关注《Python学研大本营》
访问【IT今日热榜】,发现每日技术热点