Наша взаимовыгодная связь https://banwar.org/
Про це повідомляється в блозі змагань.
Минулого тижня в Канаді, в рамках конференції CanSecWest, пройшло змагання Pwn2Own-2018. І хоча в цьому році, завдяки підтримці Microsoft і VMware, розмір призового фонду заходу був збільшений до 2 млн доларів, дослідникам вдалося забрати додому лише 267 тис. Доларів, тобто значно менше, ніж в попередні роки.
Відзначається, що хакери показали себе гірше, ніж очікувалося, відразу з кількох причин. Так, деякі фахівці, які зареєструвалися для участі в Pwn2Own, були змушені зняти свої кандидатури з конкурсу, так як під час березневого "вівторка оновлень" компанія Microsoft усунула вразливості, які експерти планували використовувати. Крім того, на початку поточного місяця влада Китаю висловилися проти участі в Pwn2Own китайських фахівців. Представники влади вважають, що дослідники не повинні ділитися експлойта і інформацією про уразливість з третіми сторонами за кордоном. Замість цього було запропоновано повідомляти про проблеми безпосередньо вендорам.
Проте кілька хороших зломів на Pwn2Own все ж показали. Так, в перший день змагань Річард Чжу (Richard Zhu) не зміг зламати браузер Safari, однак успішно продемонстрував ланцюжок експлойтів, які скомпрометували браузер Edge, що принесло йому 70 тис. Доларів. В цей же день фахівець команди Phoenhex Ніклас Баумштарк (Niklas Baumstark) зламав VirtualBox, заробивши 27 тис. Доларів. Його колега по команді Семюел Гросс (Samuel Groß) показав успішну компрометацію Safari, що принесло Phoenhex ще 65 тис. Доларів.
Фото: zerodayinitiative.com
На другий день Pwn2Own-2018 відбулося три виступи. Річард Чжу збільшив свій загальний виграш на 50 тис. Доларів, успішно атакував Mozilla Firefox. Експлойт був побудований на помилках читання за межами поля і цілочисельного переповнення ядра Windows.
Потім Маркус Гааседелен (Markus Gaasedelen), Нік Бернетт (Nick Burnett) і Патрік Бірнат (Patrick Biernat) з компанії Ret2 Systems спробували зламати Safari, однак не вклалися в запропоновані три спроби. Коли на четвертий раз метод довів свою працездатність, вони отримали нагороду від багхантінговой програми Zero Day Initiative, під чиєю егідою проводиться захід.
Змагання завершилося виступом команди з MWR labs. Алекс Пласкетт (Alex Plaskett), Георгі Гешев (Georgi Geshev) і Фабі Бетерке (Fabi Beterke) використовували уразливості незаповнення буфера купи (heap buffer underflow) і невизначеною змінною стека (uninitialized stack variable), щоб вийти з пісочниці Safari. Нагородою стали 55 тис. Доларів.
За підсумками Pwn2Own-2018 переможцем був визнаний Річард Чжу - він набрав в два рази більше призових очок, ніж найближчий конкурент. За традицією, на додачу до грошовим нагород все успішні конкурсанти отримали ноутбуки, на яких проводили атаки.
Фото: zerodayinitiative.com
- 21 лютого хакери зламали аккаунт компанії Tesla на хмарної платформі Amazon для Майнінг криптовалюта.
- 14 лютого глави силових відомств США попередили американців, що їм не варто купувати мобільні пристрої китайських компаній Huawei і ZTE.
Підписуйтесь на # Букви в Telegram і Viber . Найважливіші і свіжі новини - ви дізнаєтеся першими!