4 月 9 日消息每年,Zero Day Initiative 都會(huì)舉辦 “Pwn2Own”黑客大賽,安全研究人員可以通過(guò)發(fā)現(xiàn) Windows 和 macOS 等主要平臺(tái)的嚴(yán)重漏洞來(lái)賺錢(qián)。
2021 年的 Pwn2Own 線上活動(dòng)在本周早些時(shí)候拉開(kāi)帷幕,有 23 次獨(dú)立的黑客嘗試,涉及 10 種不同的產(chǎn)品,包括網(wǎng)絡(luò)瀏覽器、虛擬化、服務(wù)器等。今年的 Pwn2Own 活動(dòng)為期三天,每天持續(xù)多個(gè)小時(shí),在 YouTube 上進(jìn)行了直播。
在 Pwn2Own 2021 中,蘋(píng)果產(chǎn)品并沒(méi)有成為主要目標(biāo),但在第一天,來(lái)自 RET2 系統(tǒng)公司的 Jack Dates 執(zhí)行了一個(gè) Safari 到內(nèi)核的零日漏洞,為自己贏得了 10 萬(wàn)美元。他利用 Safari 中的整數(shù)溢出和 OOB 寫(xiě)入來(lái)獲得內(nèi)核級(jí)代碼執(zhí)行。
在 Pwn2Own 活動(dòng)期間,其他黑客嘗試的目標(biāo)是 Microsoft Exchange、Parallels、Windows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome 和 Microsoft Edge。
例如,荷蘭研究人員 Daan Keuper 和 Thijs Alkemade 展示了一個(gè)嚴(yán)重的 Zoom 漏洞。二人利用三重缺陷,在沒(méi)有用戶交互的情況下,利用 Zoom 應(yīng)用獲得了對(duì)目標(biāo) PC 的完全控制。
IT之家了解到,Pwn2Own 的參與者因?yàn)榘l(fā)現(xiàn)的漏洞獲得了超過(guò) 120 萬(wàn)美元的獎(jiǎng)勵(lì)。Pwn2Own 給予蘋(píng)果等廠商 90 天的時(shí)間來(lái)對(duì)發(fā)現(xiàn)的漏洞進(jìn)行修復(fù),因此可以期待在不久的將來(lái),該漏洞會(huì)在更新中得到解決。
