网络第5域

白帽黑客在多伦多Pwn2Own大会上利用58个0day漏洞赚取超过100万美元

字号+作者: 来源:cnBeta.COM 2023-10-28 16:26 评论(创建话题) 收藏成功收藏本文

Pwn2Own多伦多2023黑客大赛已落下帷幕,安全研究人员在10月24日至10月27日期间针对消费类产品进行了58次零日漏洞利用(以及多次漏洞碰撞),共获得了103.85万'...

Pwn2Own多伦多2023黑客大赛已落下帷幕,安全研究人员在10月24日至10月27日期间针对消费类产品进行了58次零日漏洞利用(以及多次漏洞碰撞),共获得了103.85万美元的收入。lvx品论天涯网

在趋势科技零日计划(ZDI)组织的Pwn2Own多伦多2023黑客大赛期间,安全研究人员以移动和物联网设备为攻击目标。lvx品论天涯网

完整的名单包括手机(即苹果iPhone14、GooglePixel7、三星GalaxyS23和小米13Pro)、打印机、无线路由器、网络附加存储(NAS)设备、家庭自动化集线器、监控系统、智能扬声器以及Google的PixelWatch和Chromecast设备,所有这些设备都处于默认配置并运行最新的安全更新。lvx品论天涯网

虽然没有参赛队报名入侵苹果iPhone14和GooglePixel7智能手机,但参赛选手四次入侵了打满补丁的三星GalaxyS23。lvx品论天涯网

PentestLimited团队率先演示了三星GalaxyS23的零日漏洞,利用输入验证不当的弱点获得了代码执行权,赢得了5万美元和5个"Pwn大师"积分。lvx品论天涯网

STARLabsSG团队也在第一天利用允许输入的列表入侵了三星的旗舰产品,获得了2.5万美元奖金(第二轮针对同一设备的奖金减半)和5个Pwn大师积分。lvx品论天涯网

InterruptLabs和ToChim团队的安全研究人员也在第二天的比赛中利用允许输入的列表和另一个输入验证不当的弱点入侵了GalaxyS22。lvx品论天涯网

lvx品论天涯网

Pwn2Own多伦多2023最终排行榜(ZDI)lvx品论天涯网

Viettel团队赢得了比赛,获得18万美元和30个Pwn大师积分。紧随其后的是SeaSecurity的Orca团队,获得116250美元(17.25分),以及DEVCOREIntern和InterruptLabs(各获得50000美元和10分)。lvx品论天涯网

安全研究人员已成功演示了针对多家厂商设备的58个零点漏洞,包括小米、西部数据、群晖、佳能、利盟、Sonos、TP-Link、QNAP、Wyze、利盟和惠普。lvx品论天涯网

你可以在这里找到比赛的完整日程表:lvx品论天涯网

https://www.zerodayinitiative.com/blog/2023/10/23/pwn2own-toronto-2023-the-schedule
lvx品论天涯网

Pwn2Own多伦多2023第一天的完整日程和每项挑战的结果都列在这里:lvx品论天涯网

https://www.zerodayinitiative.com/blog/2023/10/24/pwn2own-toronto-2023-day-one-results
lvx品论天涯网

一旦在Pwn2Own活动中被利用的零日漏洞被报告,供应商有120天的时间在ZDI公开披露之前发布补丁。lvx品论天涯网

今年3月,在Pwn2OwnVancouver2023比赛期间,参赛者利用27个零日漏洞(和几个漏洞碰撞)赢得了1,035,000美元和一辆特斯拉Model3汽车。lvx品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]