安全专家在Pwn2Own活动中因Safari漏洞获得10万美元奖金

2021 年的 Pwn2Own 大会采用线上直播的方式进行,提供了涉及 10 个不同产品类别的 23 场独立黑客破解活动,包括网络浏览器、虚拟机、服务器等等。今年的 Pwn2Own 活动为期三天,每天持续多个小时,在 YouTube 上进行了直播。

b6n45m0i.jpg

在今年的 Pwn2Own 活动中,苹果产品并没有成为主要攻击目标。不过在大会开幕首日,来自 RET2 系统公司的 Jack Dates 执行了一个 Safari 到内核的零日漏洞,为自己赢得了 10 万美元。他利用 Safari 中的整数溢出和 OOB 写入来获得内核级代码执行。

安全专家在Pwn2Own活动中因Safari漏洞获得10万美元奖金

在Pwn2Own活动期间,其他黑客尝试的目标是Microsoft Exchange、ParallelsWindows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome和Microsoft Edge。

例如,荷兰研究人员Daan Keuper和Thijs Alkemade展示了一个严重的Zoom漏洞。二人利用三重漏洞,在没有用户交互的情况下,利用 Zoom 应用获得了对目标PC的完全控制。

savetweetvid_EyY7GzAWYAgRrXB.gif

Pwn2Own的参与者因为发现的漏洞获得了超过120万美元的奖励。Pwn2Own 给予苹果等厂商 90 天的时间来对发现的漏洞进行修复,因此我们可以期待在不久的将来,该漏洞会在更新中得到解决。

原创文章,作者:3628473679,如若转载,请注明出处:https://blog.ytso.com/166524.html

(0)
上一篇 2021年9月21日
下一篇 2021年9月21日

相关推荐

发表回复

登录后才能评论