Исследователям удалось взломать Microsoft Edge, Apple Safari, Oracle VirtualBox и Mozilla Firefox.
Эксперты по кибербезопасности в общей сложности заработали $267 тыс. в рамках хакерского соревнования Pwn2Own 2018 за взлом Microsoft Edge, Apple Safari, Oracle VirtualBox и Mozilla Firefox.
В первый день исследователь Ричард Чжу (Richard Zhu), известный под псевдонимом fluorescence, не смог взломать браузер Safari, однако продемонстрировал атаку с использованием цепочки эксплоитов для браузера Edge, которая принесла ему $70 тыс. Никлас Баумстарк (Niklas Baumstark) из команды Phoenhex получил $27 тыс. за взлом программного обеспечения VirtualBox, а Самуель Грос (Samuel Groß), известный под псевдонимом saelo, заработал $65 тыс. за взлом Safari.
Во второй день Pwn2Own 2018 Чжу заработал $50 тыс. за взлом Firefox, проэксплуатировав уязвимость чтения за пределами поля (out-of-bounds) и целочисленного переполнения в ядре Windows. В общей сложности исследователь получил $120 тыс. и 65 тыс. баллов ZDI стоимостью около $25 тыс.
Сотрудники Ret2 Systems продемонстрировали цепочку эксплоитов для Safari, однако успешно взломать браузер удалось только с четвертой попытки. Поскольку правила Pwn2Own гласят, что эксплоит должен сработать максимум с третьей попытки, они не выиграли никаких денег в рамках конкурса, однако Zero Day Initiative (ZDI) все же выкупила у исследователей уязвимости и раскрыла их Apple.
Команда исследователей из MWR Labs заработала $55 тыс. за побег из песочницы в браузере Safari. Они проэксплуатировали уязвимость переполнения буфера в Safari и неинициализированной переменной стека в macOS для выполнения произвольного кода.
Напомним, в 2018 году призовой фонд Pwn2Own составил порядка $2 млн. Данная сумма является самой высокой за всю историю конкурса.
Pwn2Own – соревнование хакеров, которое ежегодно проводится в рамках конференции по информационной безопасности CanSecWest, начиная с 2007 года. Во время проведения конкурса участники ищут ранее неизвестные уязвимости в общедоступном и популярном ПО, а также в популярных мобильных устройствах. Победители конкурса получают те гаджеты, на которых они проводили эксплуатацию уязвимостей, а также денежный приз.
Сбалансированная диета для серого вещества