Pwn2Own 2021现场实录:苹果失宠
荷兰研究人员 Daan Keuper 和 Thijs Alkemade的配合下,一个有趣但严重的Zoom漏洞被曝出。两人利用三重缺陷,在没有用户交互的情况下,就利用Zoom应用获得了目标PC的完全控制权。在整个攻击场景中,受害者会看到会议邀请,但即使受害者没有单击任何内容,也会触发错误链。 这个漏洞为两人赢得了20万美金和20点Pwn积分。 Chrome渲染器和Microsoft Edge利用Day2第二高奖金则落入Dataflow Security的安全研究人员Bruno Keith和Niklas Baumstark手中。他们通过Typer Mismatch错误,成功利用Chrome渲染器和Microsoft Edge,获得了10万美金的收入。 Day3:尝试8次,成功4次,部分成功4次
大赛落幕,3组平局尽管进行了为期三天的比赛,但在第三天结束时,有三支队伍并列领先:,分别是Devcore、OV、daankeuper和thijsalkemade的两人组。 此外,今年并没有将苹果产品作为主要攻击对象,而是多次看到了白帽黑客对于Windows 10,Microsoft Exchange和Parallels Desktop等的尝试,而令人印象最深刻的则是第二天的Zoom零交互漏洞,至于特斯拉Model 3汽车,今年似乎“无人问津”,没有参赛者试图进行破解。 Safari 漏洞,斩获10万美元奖金来自RET2系统公司的Jack Dates利用Safari中的整数溢出和OOB写入,实现内核级代码执行,为自己赢得了10万美元,并获得10个Pwn积分。 Devcore团队成最大的赢家
Devcore团队通过链接身份验证绕过和本地特权升级漏洞来接管Microsoft Exchange服务器,从而获得了20万美元的收入。该团队还获得了20点Pwn积分。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |