Трижды взломана: Ubuntu Desktop стала главной целью на третий день Pwn2Own

На третий день хакерского конкурса Pwn2Own исследователи безопасности выиграли $185 000 после эксплуатации 5 эксплойтов нулевого дня, нацеленных на Windows 11, Ubuntu Desktop и VMware Workstation.

Кульминационным моментом дня стало то, что операционная система Ubuntu Desktop была трижды взломана тремя разными командами. Три 0-day уязвимости в Ubuntu были продемонстрированы:

• Кайлом Зенгом из ASU SEFCOM (уязвимость двойного высвобождения памяти (double-free)) – приз $30 000;
• Минги Чо из Theori (уязвимость использования после освобождения (Use-After-Free, UAF)) – приз $30 000;
• Бьеном Фамом из Qrious Security – приз $15 000 (возникли ошибки при взломе).

Также специалист Томас Имберт из Synacktiv заработал $30 000 за ошибку Use-After-Free в Windows 11.

Кроме того, команда STAR Labs использовала неинициализированные переменные и цепочку эксплойтов Use-After-Free в VMWare Workstation за вознаграждение в размере $80 000.

В первый день Pwn2Own исследователи безопасности успешно продемонстрировали эксплойты нулевого дня для Tesla Model 3, Windows 11 и macOS в борьбе за главный приз - $375 000 и Tesla Model 3. Во второй день участники получили вознаграждение в размере $475 000 после использования 10 нулевых дней в Windows 11, Tesla, Ubuntu и macOS.

Таким образом, общая сумма выигрыша исследователей безопасности составила $1 035 000, а автомобиль Tesla был присужден специалистам Synacktiv за 27 эксплойтов нулевого дня. Команда Synacktiv стала победителем конкурса, забрав за свои взломы $530 000 и автомобиль Tesla Model 3.