[ad_1]
在上下文中: Pwn2Own 是一年一度的黑客竞赛,在温哥华的 CanSecWest 安全会议上举行。 该活动通常会邀请备受瞩目的编码人员和研究人员,他们可以通过查找和利用流行软件平台和技术产品中的安全漏洞来展示他们的技能。
趋势科技的零日计划 (ZDI) 宣布了 Pwn2Own 2023 的第一轮获胜者。 五名参与者通过破解广受欢迎的操作系统、软件程序和一辆特斯拉 Model 3 汽车,从超过 100 万美元的奖池中获得了 375,000 美元的奖金。 黑客一共发现了12个零日漏洞。
攻击性安全公司 Synacktiv 在汽车类别中通过 TOCTOU(检查时间到使用时间)攻击破坏了 Tesla Model 3,然后逃脱了 macOS 上的访问权限。 该团队赢得了最多的奖金,收入 140,000 美元,以及被黑的特斯拉。 它的胜利使它以当天的 14 个“Master of Pwn”积分位居排行榜首位。
STAR Labs 团队凭借针对 Microsoft SharePoint 的零日漏洞利用链赢得了 115,000 美元和 11.5 MoP 积分,并使用先前已知的漏洞成功入侵了 Ubuntu 桌面操作系统。 它将以第二名的成绩进入第二天的比赛。
第一天到此结束 #P2O温哥华 2023! 在比赛的第一天,我们奖励了 375,000 美元(和一辆 Tesla Model 3!)用于 12 个零日攻击。 敬请期待明天比赛的第二天! #Pwn2Own pic.twitter.com/UTvzqxmi8E
— 零日计划 (@thezdi) 2023 年 3 月 22 日
第三名是个人安全研究员 Abdul Aziz Hariri。 Hariri 通过演示 Adobe Reader 中的一个漏洞获得了 50,000 美元和 5 个 MoP 点数,该漏洞允许他滥用多个“失败”补丁,逃离程序的沙箱,并绕过 macOS 上的禁止 API 列表。
排名第四和第五位的是 Qrious 安全研究员 Bien Pham 和个人黑客 Marcin Wiazowski。 通过 OOB 读取和基于堆栈的缓冲区溢出攻击 Oracle 的 VM VirtualBox,Pham 赢得了 40,000 美元。 Wiazowski 通过价值 30,000 美元的不当输入验证零日漏洞成功提升了 Windows 11 下的用户权限。 不幸的是,Pham 的 4 分和 Wiazowski 的 3 分 Master of Pwn 让这对搭档在整体上排名第一或第二的差距很大。
零日计划将向各自的软件供应商披露在 Pwn2Own 2023 期间演示的零日漏洞的详细信息。 开发人员将有 90 天的时间发布安全补丁。 该组织将在此截止日期后公开披露漏洞,无论补丁状态如何。
在为期三天的日程中,Pwn2Own 2023 将举办针对企业应用程序和通信、本地特权升级、服务器、虚拟化和汽车等类别的针对性攻击的演示。 2022 年,温哥华黑客节向安全研究人员颁发了 1,155,000 美元的奖金。
[ad_2]
Source link
