Pwn2Own 2020 春季赛落下帷幕,Fluoroacetate 团队成最大赢家
| 2020-03-22 17:24
两天时间里,六支参赛队伍成功地入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader 和 Oracle VirtualBox 等应用程序和操作系统。
每年春季在加拿大温哥华 CanSecWest 网络安全会议上举办的 Pwn2Own 黑客大赛刚刚落下帷幕,今年的大赢家是由安全研究人员 Amat Cama 和 Richard Zhu 组成的 Fluoroacetate 团队。在为期两天的比赛中,他们累计拿到了 9 个积分,并在四场比赛中将优势保持到了最后。
受新冠病毒疫情的影响,本届 Pwn2Own 赛事的情况有很大的不同。因为全球多地实施了旅行限制,导致大量安全研究人员无法或不愿前往参赛。出于安全健康的考虑,今年的 Pwn2Own 黑客大赛也转到了线上进行。选手们预先将漏洞利用发给赛事主办方,然后在现场直播中与所有参与者一起运行了相关代码。
两天时间里,六支参赛队伍成功地入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader 和 Oracle VirtualBox 等应用程序和操作系统。期间利用的所有漏洞,均立即向关联企业进行了汇报。
漏洞爆破方面,乔治亚技术系统软件和安全实验室(SSLab_Gatech)团队在首日率先得分。团队成员 Yong Hwi Jin(@ jinmo123)、Jungwon Lim(@ setuid0x0_)和 Insu Yun(@insu_yun_en)主要利用了 Safari 这个跳板。通过一连串共六个漏洞,将计算器应用弹出到 macOS 上,最终实现了 macOS 内核提权攻击,这让他们夺得 7 万美元奖金和 7 个 Pwn 积分。
第二个是 use-after-free 漏洞利用,Flourescence(Richard Zhu)借此向微软 Windows 操作系统发起了本地提权攻击,夺得 4 万美元奖金和 4 个 Pwn 积分。
第三个漏洞利用是 RedRocket CTF 团队的 Manfred Paul 向 Ubuntu 桌面发起的本地提权攻击,获得 3 万美元奖金和 3个 Pwn 积分。
第四个起攻击利用了 use-after-free 漏洞,Fluoroacetate 团队的 Amat Cama 和 Richard Zhu 借此达成了 Windows 的本地提权,获得 4 万美元奖金和 4 个 Pwn 积分。
第五个漏洞由 STAR Labs 的 Phi Phạm Hồng(@4nhdaden)在次日率先用于攻破 VirtualBox 虚拟机,为其赢得 4 万美元奖金和 4 个 Pwn 积分。
第六个漏洞利用还是 Amat Cama 和 Richard Zhu 联手实现,但这次目标换成了通过 Adobe Reader 达成 Windows 本地提权,获 5 万美元奖金和 5 个 Pwn 积分。
第七个是 Synacktiv 团队的 Corentin Bayet(@OnlyTheDuck)和 Bruno Pujos(@BrunoPujos)的 VMware Workstation 虚拟机漏洞利用,可惜的是未能在规定时间内证明。
来源:cnBeta.COM
更多资讯
搅局者恶意共享不良图片 不少 Zoom 会议被迫中断
近几周随着随着视频会议应用 Zoom 的用户群迅速扩大,一些搅局者或恶作剧者开始在会议中共享不良内容,这让主持人和其他用户头疼不已。在新型冠状病毒不断蔓延的情况下,Zoom 已经成为数百万人的默认社交平台。民众在保持与他人距离的同时,也希望疫情期间与朋友、家人、学生和同事建立联系。
来源:cnBeta.COM
新华网谈网络“云盘”:比容量更重要的是安全
有自媒体日前在网上发文,称360安全云盘出现问题,文件消失,充值后会员时间并未叠加。这一事件,引发了人们对网络“云盘”安全的担忧。网络云盘企业如何提供更好的网络服务,保障用户信息安全,成为云存储行业健康发展的迫切问题。
来源:新华网
受疫情影响 微软 Edge 宣布紧跟谷歌 Chrome 团队暂停新版开发
受新冠病毒疫情大流行带来的停工影响,谷歌已于几日前宣布将暂停发布 Chrome 浏览器和 Chrome OS 的新版本。现在,基于 Chromium 内核的 Microsoft Edge 开发团队也决定采取同样的版本号冻结措施。与 Google Chrome 一样,Chromium Edge 也有每日更新的 Canary、以及每周更新的 Dev 版本。
来源:cnBeta.COM
(信息来源于网络,安华金和搜集整理)