Varje år är Zero Day Initiative värd för en 'Pwn2Own'-hackningstävling där säkerhetsforskare kan tjäna pengar för att hitta allvarliga sårbarheter i stora plattformar som Windows och macOS.
Detta virtuella Pwn2Own-evenemang 2021 startade tidigare denna vecka och innehöll 23 separata hackningsförsök över 10 olika produkter inklusive webbläsare, virtualisering, servrar och mer. En tre dagar lång affär som sträcker sig över flera timmar om dagen, årets Pwn2Own-evenemang livestreamades på YouTube.
Apples produkter var inte särskilt måltavla i Pwn2Own 2021, men på dag ett körde Jack Dates från RET2 Systems en Safari för att kärna zero-day exploit och tjänade sig själv 100 000 dollar. Han använde ett heltalsspill i Safari och en OOB-skrivning för att få kodexekvering på kärnnivå, som demonstrerades i tweeten nedan.
Grattis Jack! Landar en 1-klicks Apple Safari till Kernel Zero-day kl # Pwn2Own 2021 på uppdrag av RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) 6 april 2021
Andra hackningsförsök under Pwn2Own-evenemanget riktade sig till Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome och Microsoft Edge.
Ett allvarligt Zoomfel visades till exempel av de holländska forskarna Daan Keuper och Thijs Alkemade. Duon utnyttjade en trio av brister för att få total kontroll över en måldator med hjälp av Zoom-appen utan användarinteraktion.
Vi bekräftar fortfarande detaljerna #Zoom utnyttja med Daan och Thijs, men här är en bättre gif av buggen i aktion. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) 7 april 2021
Pwn2Own-deltagare fick mer än 1,2 miljoner dollar i belöningar för de buggar de upptäckte. Pwn2Own ger leverantörer som Apple 90 dagar på sig att ta fram en fix för de sårbarheter som avslöjas, så vi kan förvänta oss att buggen åtgärdas i en uppdatering inom en inte alltför avlägsen framtid.
Populära Inlägg