今年在温哥华举行的Pwn2Own黑客大赛向发现和利用许多以前未知的零日安全漏洞的研究人员颁发了超过100万美元的奖金。这笔钱的一半以上给了一个团队。Pwn2Own是由趋势科技的零日计划(ZDI)在温哥华CanSecWest安全会议期间举办的年度黑客大赛。
每年,安全研究人员和代码专家都会加入数字战场,希望能大获全胜,赢得ZDI提供的丰厚的现金奖励。今年,五支安全专家团队揭露了流行软件和技术产品中的一些黑客行为。
在为期三天的活动结束时,参赛者披露了27个独特的零日漏洞,共分得103.5万美元(和被黑的汽车)。渗透测试公司Synacktiv团队获得了"Pwn大师"称号,他们获得了53个Pwn大师积分、53万美元和特斯拉Model3汽车。
Synacktiv在第一天取得了绝对的领先优势,其团队攻陷了一辆特斯拉Model3,并破解了macOS的访问权限。第二天,Synacktiv通过展示针对特斯拉信息娱乐系统的堆溢出和OOB写零日漏洞链,进一步巩固了其领先地位。
Synacktiv的代码破解者ThomasImbert和ThomasBouzerar还展示了一个在OracleVirtualBox上升级权限的三个漏洞链,价值80000美元。TanguyDubroca在Ubuntu桌面上成功地进行了权限升级演示,获得了30000美元。在第三天的比赛结束时,ThomasImbert又获得了30000美元的奖金,因为他成功地利用Use-After-Free零日漏洞入侵了一个完全打过补丁的Windows11系统。
StarLabs在利用了微软SharePoint和VMWareWorkstation的零日漏洞以及UbuntuDesktop上的一个先前已知的碰撞后,获得了19.5万美元和19.5MoP积分,位居第二。Viettel团队获得了第三名,通过入侵微软团队和甲骨文VirtualBox,获得了115000美元和12个MoP积分。QriousSecurity和独立安全研究人员AbdulAzizHariri分别以55000美元(5.5分)和50000美元(5分)的奖金结束了比赛,排名第四和第五。
零日计划现在将向各自的软件供应商提供Pwn2Own2023期间演示的所有27个零日漏洞的详细信息。在ZDI公开披露这些漏洞之前,各公司将有90天的时间来修复这些漏洞并发布其安全补丁,无论补丁是否可用。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】