Hvert år afholder Zero Day Initiative en 'Pwn2Own' hackingkonkurrence, hvor sikkerhedsforskere kan tjene penge på at finde alvorlige sårbarheder i store platforme som Windows og macOS.
Denne virtuelle Pwn2Own-begivenhed i 2021 startede tidligere på ugen og indeholdt 23 separate hackingforsøg på tværs af 10 forskellige produkter, herunder webbrowsere, virtualisering, servere og mere. En tre-dages affære, der strækker sig over flere timer om dagen, dette års Pwn2Own-begivenhed blev livestreamet på YouTube.
Apple-produkter var ikke meget målrettet i Pwn2Own 2021, men på dag ét udførte Jack Dates fra RET2 Systems en Safari til kernel zero-day exploit og tjente sig selv $100.000. Han brugte et heltalsoverløb i Safari og en OOB-skrivning for at få kodeudførelse på kerneniveau, som demonstreret i tweetet nedenfor.
Tillykke Jack! Lander en 1-kliks Apple Safari til Kernel Zero-day kl # Pwn2Own 2021 på vegne af RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) 6. april 2021
Andre hackingforsøg under Pwn2Own-begivenheden var rettet mod Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome og Microsoft Edge.
En alvorlig Zoom-fejl blev for eksempel påvist af de hollandske forskere Daan Keuper og Thijs Alkemade. Duoen udnyttede en trio af fejl til at få total kontrol over en mål-pc ved hjælp af Zoom-appen uden brugerinteraktion.
Vi bekræfter stadig detaljerne i #Zoom udnytte med Daan og Thijs, men her er en bedre gif af fejlen i aktion. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) 7. april 2021
Pwn2Own-deltagere modtog mere end $1,2 millioner i belønninger for de fejl, de opdagede. Pwn2Own giver leverandører som Apple 90 dage til at lave en rettelse til de sårbarheder, der bliver afdækket, så vi kan forvente, at fejlen bliver rettet i en opdatering i en ikke alt for fjern fremtid.
Populære Indlæg