Hvert år arrangerer Zero Day Initiative en 'Pwn2Own' hackingkonkurranse der sikkerhetsforskere kan tjene penger på å finne alvorlige sårbarheter i store plattformer som Windows og macOS.
Denne virtuelle Pwn2Own-begivenheten fra 2021 startet tidligere denne uken og inneholdt 23 separate hackingforsøk på tvers av 10 forskjellige produkter, inkludert nettlesere, virtualisering, servere og mer. En tre-dagers affære som strekker seg over flere timer om dagen, årets Pwn2Own-arrangement ble livestreamet på YouTube.
Apple-produkter var ikke særlig målrettet i Pwn2Own 2021, men på dag én utførte Jack Dates fra RET2 Systems en Safari til kjernen null-dagers utnyttelse og tjente seg $100 000. Han brukte et heltallsoverløp i Safari og en OOB-skriving for å få kodeutførelse på kjernenivå, som demonstrert i tweeten nedenfor.
Gratulerer Jack! Lander en 1-klikk Apple Safari til Kernel Zero-day kl # Pwn2Own 2021 på vegne av RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2 Systems (@ret2systems) 6. april 2021
Andre hackingforsøk under Pwn2Own-arrangementet var rettet mot Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome og Microsoft Edge.
En alvorlig Zoom-feil ble demonstrert av for eksempel de nederlandske forskerne Daan Keuper og Thijs Alkemade. Duoen utnyttet en trio av feil for å få total kontroll over en mål-PC ved å bruke Zoom-appen uten brukerinteraksjon.
Vi bekrefter fortsatt detaljene #Zoom utnytte med Daan og Thijs, men her er en bedre gif av feilen i aksjon. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW — Zero Day Initiative (@thezdi) 7. april 2021
Pwn2Own-deltakere mottok mer enn $1,2 millioner i belønning for feilene de oppdaget. Pwn2Own gir leverandører som Apple 90 dager på seg til å lage en løsning for sårbarhetene som blir avdekket, så vi kan forvente at feilen blir adressert i en oppdatering i en ikke altfor fjern fremtid.
Populære Innlegg