Pwn2Own の倫理的ハッキング バトルの決勝戦は、4 月 8 日に行われた最後のイベントでついに終了しました。結果は、50% が完全成功、残りの 50% が部分勝利に分かれました。このイベントは午前 9 時に盛況のうちに始まり、Parallels デスクトップ内からホスト OS 上でコードを実行して Benjamin McBride が 40,000 ドルを獲得しました。
画像: Zeroday InitiativeMicrosoft Exchange、Ubuntu に関する次の 4 つのイベント セットデスクトップ、Windows 10、および Parallels Desktop は、これら 4 つのイベントで使用されたすべての方法と、報告されたバグがそれぞれの組織によってすでに知られていたため、部分的に成功したとみなされました。ここでは賞金は授与されませんでしたが、勝者にはマスター オブ PWN に向けたポイントが与えられました。これらのイベントの主なハイライトは、独立した研究者として参加した初の女性である Alisa Esage であり、仮想化カテゴリの Parallels Desktop を対象としたものでした。
画像提供: TwitterUbuntu Desktop、Parallels Desktop に向けた最後の 3 つのイベントと Windows 10 デスクトップはすべて成功を収め、賞金を獲得しました。 Vincent Dehors は、ダブルフリーのバグを通じて Ubuntu デスクトップのルートにエスカレーションするために 30,000 ドルを請求しました。次の賞金 40,000 ドルは、Parallels Desktop で OOB Write 経由でゲストからホストへの変換を完了した Da Lao 氏が獲得しました。この日とトーナメントの最後の勝利は、UAF のバグを利用して Windows 10 PC でシステム アクセスを獲得した後、Marcin Wiazowski が獲得し、なんと 40,000 ドルを獲得しました。
イベント全体は VMware によって後援されました。他のパートナーには、Adobe、Zoom、Tesla が含まれます。イベントのベンダーには、報告された脆弱性の修正を作成するまで 90 日の猶予が与えられています。見逃した場合に備えて、3 日間すべての概要レポートをここに示します。
Sn No
日付 時刻 > イベント 個人/チームステータス
1
2021 年 4 月 6 日 1000 Apple Safari Jack日付 成功 2 2021 年 4 月 6 日 1130 Microsoft Exchange DEVCORE成功
3
2021 年 4 月 6 日 1300 Microsoft Teams OV 成功4
2021 年 4 月 6 日 1430 Windows 10 Viettel 成功 5 2021年4月6日 1530 Parallels Desktop Star Labs失敗
6 2021年4月6日 1630 Ubuntu Desktop 志賀良太成功
7
4月6日2021 1730 Oracle Virtualbox Star Labs 失敗 8 2021 年 4 月 7 日 0900 Parallels Desktop ジャック日成功
9
2021 年 4 月 7 日 1000 Google Chrome & Mi crosoft Edge Bruno Keith & Niklas BaumStark 成功10
2021 年 4 月 7 日 1130 Microsoft Exchange Viettel 部分的 11 2021 年 4 月 7 日 1300 Zoom Messenger Daan Keuper & Thijs Alkemade成功
12 4 月 7, 2021 1430 Windows 10 Tao Yan成功
13
2021年4月7日 1530 Parallels Desktop Sunjoo Park 成功 14 2021年4月7日 1630 Ubuntu Desktop Manfred Paul成功
15
2021 年 4 月 7 日 1730 Windows 10 z3r09 成功 16 2021 年 4 月 8 日 0900 Parallels Desktop Benjamin McBride成功
17
2021 年 4 月 8 日 1000 Microsoft Exchange Steven Seeley 部分18
2021 年 4 月 8 日 1130 Ubuntu Desktop Star Labs部分
19 2021 年 4 月 8 日 1230 Windows 10 Fabien Perigaud部分
20
2021 年 4 月 8 日 1330 Parallels Desktop Alisa Esage 部分 21 2021 年 4 月 8 日 1430 Ubuntu デスクトップ Vincent Dehors成功
22
2021 年 4 月 8 日 1530 Parallels Desktop Da Lao 成功23 2021 年 4 月 8 日 1630 Windows 10 Marcin Wiazowski成功
上の表を一目見ると、予定されていた 23 のイベントのうち、チームが目標を達成できずに失敗したのは 2 つだけであることがわかります。割り当てられた時間内にタスクを完了し、5 つのパーシャルを含む 16 のイベントが完全に成功しました。 5 つの部分的成功は、使用された手法またはバグがコンテスト前にすでに知られていたため、そう呼ばれています。
完全な結果と詳細については、ここをクリックしてください。
ここで懸念される理由は、実際の成功合計数を数えると、23 回中 21 回となり、91% の成功 (部分的な勝利を含む) に相当するということです。これは私たちの心に「私たちが使用しているオペレーティング システムとソフトウェアはハッカーによってそれほど脆弱ではないのか?」という深刻な考えをもたらします。これについては皆さんに考えて熟考していただき、以下のセクションでコメントを共有してください。
読み取り: 0
