日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

pwn2own,Pwn

云知道


Pwn2Own春季賽落下帷幕 , 各參賽隊(duì)伍戰(zhàn)況如何?

pwn2own,Pwn


每年春季在加拿大溫哥華 CanSecWest 網(wǎng)絡(luò)安全會(huì)議上舉辦的 Pwn2Own 黑客大賽剛剛落下帷幕 。今年的大贏家是由安全研究人員 Amat Cama 和 Richard Zhu 組成的 Fluoroacetate 團(tuán)隊(duì) 。在為期兩天的比賽中 , 他們累計(jì)拿到了 9 個(gè)積分 , 并在四場(chǎng)比賽中將優(yōu)勢(shì)保持到了最后 。
(圖自:Trend Micro)受新冠病毒疫情的影響 , 本屆 Pwn2Own 賽事的情況有很大的不同 。因?yàn)槿蚨嗟貙?shí)施了旅行限制 , 導(dǎo)致大量安全研究人員無法或不愿前往參賽 。出于安全健康的考慮 , 今年的 Pwn2Own 黑客大賽也轉(zhuǎn)到了線上進(jìn)行 。選手們預(yù)先將漏洞利用發(fā)給賽事主辦方 , 然后在現(xiàn)場(chǎng)直播中與所有參與者一起運(yùn)行了相關(guān)代碼 。
兩天時(shí)間里 , 六支參賽隊(duì)伍成功地入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader 和 Oracle VirtualBox 等應(yīng)用程序和操作系統(tǒng) 。期間利用的所有漏洞 , 均立即向關(guān)聯(lián)企業(yè)進(jìn)行了匯報(bào) 。漏洞爆破方面 , 喬治亞技術(shù)系統(tǒng)軟件和安全實(shí)驗(yàn)室(SSLab_Gatech)團(tuán)隊(duì)在首日率先得分 。
團(tuán)隊(duì)成員 Yong Hwi Jin(@ jinmo123)、Jungwon Lim(@ setuid0x0_)和 Insu Yun(@insu_yun_en)主要利用了 Safari 這個(gè)跳板 。通過一連串共六個(gè)漏洞 , 將計(jì)算器應(yīng)用彈出到 macOS 上 , 最終實(shí)現(xiàn)了 macOS 內(nèi)核提權(quán)攻擊 , 這讓他們奪得 7 萬美元獎(jiǎng)金和 7 個(gè) Pwn 積分 。
【pwn2own,Pwn】第二個(gè)是 use-after-free 漏洞利用 , Flourescence(Richard Zhu)借此向微軟 Windows 操作系統(tǒng)發(fā)起了本地提權(quán)攻擊 , 奪得 4 萬美元獎(jiǎng)金和 4 個(gè) Pwn 積分 。第三個(gè)漏洞利用是 RedRocket CTF 團(tuán)隊(duì)的 Manfred Paul 向 Ubuntu 桌面發(fā)起的本地提權(quán)攻擊 , 獲得 3 萬美元獎(jiǎng)金和 3個(gè) Pwn 積分 。
第四個(gè)起攻擊利用了 use-after-free 漏洞 , Fluoroacetate 團(tuán)隊(duì)的 Amat Cama 和 Richard Zhu 借此達(dá)成了 Windows 的本地提權(quán) , 獲得 4 萬美元獎(jiǎng)金和 4 個(gè) Pwn 積分 。第五個(gè)漏洞由 STAR Labs 的 Phi Ph?m H?ng(@4nhdaden)在次日率先用于攻破 VirtualBox 虛擬機(jī) , 為其贏得 4 萬美元獎(jiǎng)金和 4 個(gè) Pwn 積分 。
第六個(gè)漏洞利用還是 Amat Cama 和 Richard Zhu 聯(lián)手實(shí)現(xiàn) , 但這次目標(biāo)換成了通過 Adobe Reader 達(dá)成 Windows 本地提權(quán) , 獲 5 萬美元獎(jiǎng)金和 5 個(gè) Pwn 積分 。第七個(gè)是 Synacktiv 團(tuán)隊(duì)的 Corentin Bayet(@OnlyTheDuck)和 Bruno Pujos(@BrunoPujos)的 VMware Workstation 虛擬機(jī)漏洞利用 , 可惜的是未能在規(guī)定時(shí)間內(nèi)證明 。
Pwn2Own 2019上 , 黑客都破解了哪些東西?
pwn2own,Pwn


Pwn2Own 2019已進(jìn)入到第三天 , 再次向世界證明了世界上沒有一個(gè)完全安全的系統(tǒng) 。黑客通過訪問特制的頁(yè)面 , 已經(jīng)成功入侵了macOS上的Safari、Windows 10上的Edge和Firefox瀏覽器 , 甚至還從兩個(gè)虛擬機(jī)上逃脫在本地硬件上運(yùn)行代碼 。Fluoroacetate戰(zhàn)隊(duì):Amat Cama和Richard Zhu眾多黑客圍觀Fluoroacetate戰(zhàn)隊(duì)破解ZDI分析師Jasiel Spelman預(yù)備觀看Richard Zhu的Model 3破解演示The Master of Pwn獎(jiǎng)杯和獎(jiǎng)勵(lì)的筆記本外媒MSPowerUser就盤點(diǎn)了過去三天內(nèi)黑客所取得的驕人成績(jī):10:00-在網(wǎng)頁(yè)瀏覽器類目中Fluoroacetate(Amat Cama和Richard Zhu)團(tuán)隊(duì)發(fā)現(xiàn)了Safari零日漏洞和沙盒逃脫方式 。
成功:Fluoroacetate團(tuán)隊(duì)使用在JIT中發(fā)現(xiàn)的漏洞來逃離沙盒 。最終他們?yōu)樽约嘿嵢×?5000美元和5個(gè)Master of Pwn 積分 。11:30-Fluoroacetate(Amat Cama和Richard Zhu)團(tuán)隊(duì)在虛擬化類目中 , 找到了針對(duì)Oracle VirtualBox的漏洞 。

推薦閱讀