Pwn2Own 2022黑客大賽繼續拿下特斯拉、微軟和Ubuntu
本週在溫哥華舉行的為期三天的Pwn2Own黑客大會上,微軟、Ubuntu和Tesla產品的幾個漏洞被持續發現並被利用。該會議由趨勢科技的零日計劃組織,為黑客提供了一個賺錢的機會,為主流科技廠商們換取發現和利用流行產品的漏洞。
到星期四第二天結束時,會議已經支付了94.5萬美元的獎勵,其中包括7.5萬美元給攻擊性安全公司Synacktiv的黑客,他們在特斯拉Model 3信息娛樂系統中發現了兩個獨特的漏洞。這些漏洞使黑客能夠接管汽車的一些系統。零日計劃最後還購買了特斯拉Model 3診斷以太網的一個漏洞,並將其披露給汽車製造商。
Sea Security Response的安全工程師Bien Pham和美國西北大學的一個團隊展示了Ubuntu台式機上的兩個”Use After Free”的特權提升漏洞。這種類型的漏洞是由於應用程序管理內存不善而發生的漏洞。內存損壞的漏洞通常被用來攻擊和利用瀏覽器。
在比賽的第三天,在Ubuntu中發現了另一個Use After Free漏洞,同時還有其他微軟Windows 11漏洞。
在活動的第一天,有16個零日漏洞在Ubuntu桌面、蘋果Safari、甲骨文Virtualbox、Mozilla Firefox,以及微軟的Windows 11和Teams中被利用。
上述被利用的16個零日漏洞獲得了超過80萬美元的獎勵。
今年是該比賽舉辦15週年,來自幾十家網絡安全公司的17名參賽者針對21種不同的產品進行了多類比賽。STAR實驗室在第二天結束時以27萬美元的總收入領先。
供應商有90天的時間對比賽期間披露的所有漏洞進行修復。