首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

直击世界黑客大赛:已有参赛团队喜提两辆特斯拉Model 3

2023年度的世界黑客大赛(Pwn2Own)已于当地时间3月22日在温哥华开赛,在为期三天的赛程中,参赛者们向包括微软、Mozilla、谷歌、Adobe、甲骨文、VMware、Ubuntu以及特斯拉在内的9大品牌产品发动攻势,主办方为本届比赛总计准备了108万美元奖金。目前,比赛正接近尾声,这些产品大多已被攻破。

Adobe

Day 1:Adob​​e Reader成为首个被攻破的产品,Haboob SA 团队成员因此拿下了“首金”,他在企业应用程序类别中展示了针对 Adob​​e Reader 的零日漏洞攻击,并因此获得了5万美元奖励和5个 Master of Pwn积分。

Ubuntu

Day 1:来自新加坡的团队 STAR Labs针对服务器类别中的微软SharePoint赢得了10万美元和10个Master of Pwn积分。他们还利用先前已知的漏洞攻击了 Ubuntu Desktop,获得了 1.5万美元奖金和 1.5个 Master of Pwn 积分。

Day 2:Synacktiv团队通过演示指针缩放零日漏洞导致的Ubuntu 权限提升,获得了3万美元奖金。

Windows

Day 1:在针对Windows11系统时,研究员 Marcin Wiązowski利用不正确地输入验证问题提升了系统权限,从而获得了3万美元奖金和 3 个 Master of Pwn 积分。

Day 2:Viettel 团队通过两个漏洞链入侵了 Microsoft Teams,获得了7.8万美元奖金。

特斯拉

Day 1:Synacktiv团队演示了针对特斯拉Gateway 的 TOCTOU的竞态条件漏洞攻击。他们获得了 10万美元和 10 个 Master of Pwn 积分,并额外获赠了一辆特斯拉Model 3。他们还利用 TOCTOU 漏洞升级了苹果 macOS 上的权限,获得了 4万美元奖金和 4 个 Master of Pwn 积分。

Day 2:Synacktiv的其中两名队员再度发起攻势,他们在成功实施堆溢出和 OOB 写入利用链攻击后获得了25万美元奖金,并为团队“喜提”第二辆Model 3。

甲骨文

Day 1:Qrious Security团队成员使用 OOB Read 和基于堆栈的缓冲区溢出漏洞利用链攻破了VirtualBox,从而获得了4万美元奖金,

Day 2:Synacktiv团队成员成功利用三条漏洞链升级了VirtualBox权限,获得了8万美元奖金。而Viettel团队利用一个UAF漏洞和未初始化的变量入侵了VirtualBox,获得了4万美元奖金。

在本届世界黑客大赛期间演示和披露零日漏洞,供应商须在比赛结束后 90 天内为所有报告的缺陷创建和发布安全修复程序,并由主办单位趋势科技的零日计划公开披露。在去年的比赛中,安全研究人员在入侵 Windows 11 6 次、Ubuntu Desktop 4 次并成功展示了三个 Microsoft Teams 零日漏洞后总计获得了115万美元奖金。

本届大赛将在当地时间3月24迎来最后一天的比赛,参赛者将再度以微软、Ubuntu、VMware为重点目标展开进攻,FreeBuf将持续关注。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20230324A04X3N00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券