По телевидению нашей страны мы привыкли видеть самые странные и самые разнообразные конкурсы. Вдали от «снова 1,2,3» и «желтого юмора» японцев, сегодня мы развлекаемся просмотром блокбастеров с изолированными знаменитостями на безлюдных островах и тому подобными вещами.
Есть ежегодный конкурс, который часто остается для нас незамеченным, но имеет огромное количество поклонников по всему миру. Это о "Pwn2Own", Где самые известные хакеры подвергаются испытанию, заставляя их" взрывать "различные системы вживую. Один из них получил хорошую выгоду, взломав эксплойт Safari.
Каждый год Zero Day Initiative организует хакерский конкурс под названием «Pwn2Own», где исследователи безопасности могут заработать деньги, если обнаружат серьезные уязвимости на основных платформах, таких как Windows и macOS.
Это виртуальное мероприятие «Pwn2Own 2021» началось ранее на этой неделе. 23 попытки взлома разделены на 10 различных продуктов, включая веб-браузеры, виртуализацию, серверы и многое другое. Конкурс, который длится несколько часов в день в течение трех дней подряд, транслируется в прямом эфире на YouTube.
Системы Apple не подверглись серьезным атакам в этом выпуске конкурса, но в первый день, Джек Дейтс RET2 Systems запустила эксплойт Safari "нулевого дня ядра" и выиграла Доллар США 100.000. Используется целочисленное переполнение в Safari и сценарий OOB для выполнения кода на уровне ядра, что подтверждается сертификатом Tweet организации.
Поздравляю, Джек! Посадка Apple Safari в один клик в Kernel Zero-day на # Pwn2Own 2021 от имени RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
- Системы RET2 (@ ret2systems) 6 апреля 2021
Мало того, что взломали Safari
Другие попытки взлома во время мероприятия «Pwn2Own» были нацелены на Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome и Microsoft Edge, получив более или менее удачу.
Например, голландские исследователи Даан Кеупер и Тийс Алкемаде продемонстрировали серьезный недостаток безопасности в Zoom. Дуэт использовал три недостатка, чтобы получить полный контроль над целевым ПК с помощью приложения Zoom без вмешательства пользователя.
Участники Pwn2Own получили более 1,2 млн. в награду за обнаруженные ошибки. Pwn2Own дает таким поставщикам, как Apple, 90 дней для исправления обнаруженных уязвимостей, поэтому мы можем ожидать, что ошибка будет исправлена в следующем обновлении.