Исследователи заработали $267 тыс. в рамках Pwn2Own 2018

image

Теги: Pwn2Own, кибербезопасность, соревнования

Исследователям удалось взломать Microsoft Edge, Apple Safari, Oracle VirtualBox и Mozilla Firefox.

Эксперты по кибербезопасности в общей сложности заработали $267 тыс. в рамках хакерского соревнования Pwn2Own 2018 за взлом Microsoft Edge, Apple Safari, Oracle VirtualBox и Mozilla Firefox.

В первый день исследователь Ричард Чжу (Richard Zhu), известный под псевдонимом fluorescence, не смог взломать браузер Safari, однако продемонстрировал атаку с использованием цепочки эксплоитов для браузера Edge, которая принесла ему $70 тыс. Никлас Баумстарк (Niklas Baumstark) из команды Phoenhex получил $27 тыс. за взлом программного обеспечения VirtualBox, а Самуель Грос (Samuel Groß), известный под псевдонимом saelo, заработал $65 тыс. за взлом Safari.

Во второй день Pwn2Own 2018 Чжу заработал $50 тыс. за взлом Firefox, проэксплуатировав уязвимость чтения за пределами поля (out-of-bounds) и целочисленного переполнения в ядре Windows. В общей сложности исследователь получил $120 тыс. и 65 тыс. баллов ZDI стоимостью около $25 тыс.

Сотрудники Ret2 Systems продемонстрировали цепочку эксплоитов для Safari, однако успешно взломать браузер удалось только с четвертой попытки. Поскольку правила Pwn2Own гласят, что эксплоит должен сработать максимум с третьей попытки, они не выиграли никаких денег в рамках конкурса, однако Zero Day Initiative (ZDI) все же выкупила у исследователей уязвимости и раскрыла их Apple.

Команда исследователей из MWR Labs заработала $55 тыс. за побег из песочницы в браузере Safari. Они проэксплуатировали уязвимость переполнения буфера в Safari и неинициализированной переменной стека в macOS для выполнения произвольного кода.

Напомним, в 2018 году призовой фонд Pwn2Own составил порядка $2 млн. Данная сумма является самой высокой за всю историю конкурса.

Pwn2Own – соревнование хакеров, которое ежегодно проводится в рамках конференции по информационной безопасности CanSecWest, начиная с 2007 года. Во время проведения конкурса участники ищут ранее неизвестные уязвимости в общедоступном и популярном ПО, а также в популярных мобильных устройствах. Победители конкурса получают те гаджеты, на которых они проводили эксплуатацию уязвимостей, а также денежный приз.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.