Pwn2Own 2019 اليوم 1 - اخترق المشاركون منتجات Apple و Oracle و VMware

بدأت مسابقة القرصنة Pwn2Own 2019 واختراق المشاركون متصفح Apple Safari و Oracle VirtualBox و VMware Workstation في اليوم الأول.

كما تعلم ، أعطي دائمًا النتائج التي حصل عليها قراصنة القبعة البيضاء في مسابقات القرصنة ، ولهذا 

السبب ، سوف أشارككم اليوم نتائج اليوم الأول من Pwn2Own 2019.

Pwn2Own 2019 هي مسابقة القرصنة التي تنظمها مبادرة Trend Micro Zero Day (ZDI) التي تجري في فانكوفر ، كندا ، إلى جانب مؤتمر CanSecWest.

تتضمن هذه الطبعة حداثة ، لأول مرة في تاريخها
تمت دعوة المشاركين لاختراق طراز تسلا 3 ، وتقدم المنظمة ما يصل إلى 300000 دولار وسيارة.

يزيد إجمالي الجوائز عن مليون دولار أمريكي ، والمشاركون متحمسون للغاية للمشاركة في المسابقة.

في اليوم الأول ، تمكنوا من اختراق متصفح الويب Safari الخاص بشركة Apple ومنتجات المحاكاة الافتراضية Oracle VirtualBox و VMware Workstation التي حصلت على ما مجموعه 240،000 دولار نقدًا.

حصل Amat Cama و Richard Zhu من فريق Fluoroacetate على 55000 دولار وخمس نقاط مقابل Master of Pwn ، لاستغلالهما مستعرض الويب Safari. قام الثنائي الأمني ​​بتقييد عدد صحيح صحيح في المتصفح وتجاوز سعة الكومة مما سمح لهما بالهروب من صندوق الحماية. واستخدم الخبراء أخيرًا تقنية القوة الغاشمة للهروب من صندوق الرمال.

"لقد نجحوا في استغلال المتصفح وهربوا من الصندوق الرملي باستخدام تجاوز عدد صحيح في المتصفح وتجاوز الكومة للهروب من الصندوق الرملي. استغرقت المحاولة ما يقرب من الوقت الكامل المسموح به لأنهم استخدموا تقنية القوة الغاشمة أثناء هروب الصندوق الرمل. "قراءة الصفحة الرسمية لمسابقة Pwn2Own 2019.

"ستفشل الشفرة ثم حاول مرة أخرى حتى تنجح. كسبت المظاهرة منهم 55000 دولار أمريكي و 5 نقاط مقابل ماجستير في Pwn. "

حصل نفس الخبراء أيضًا على 35000 دولار للتطفل على Oracle VirtualBox من خلال إطلاق محاولة عدد صحيح أقل من المحاولة الثانية وشرط سباق لتصعيد الامتيازات وتنفيذ تعليمات برمجية عشوائية.

حصل Amat Cama و Richard Zhu أيضًا على مبلغ 70،000 دولار للهروب من جهاز VMware Workstation الظاهري ورمز التنفيذ على نظام التشغيل المضيف الأساسي.

لقد كان يومًا رائعًا لفريق Fluoroacetate الذي كسب ما مجموعه 160،000 دولار في يوم واحد 

فقط. 

في اليوم الأول ، كسب خبراء آخرون في STAR Labs يستخدمون المقبض anhdaden مبلغًا قدره 

35،000 دولارًا لاختراق Oracle VirtualBox من خلال استغلال تدفق صحيح عدد صحيح لتصعيد 

الامتيازات وتنفيذ التعليمات البرمجية على المضيف الأساسي. تختلف مشكلة تجاوز السعة الصحيحة 

التي يستغلها الخبير عن تلك التي اكتشفها Fluoroacetate. اقترب يوم واحد مع فريق Phoenhex 

& 

Qwerty الذي كسب 45،000 دولار للحصول على تسوية كاملة للنظام عبر استغلال Apple Safari 

مع رفع kernel. من أجل استغلال الخلل ، يحتاج المهاجمون إلى خداع الضحايا لزيارة موقع ضار. "من

خلال تصفح موقع الويب الخاص بهم ، قاموا بتشغيل خطأ JIT متبوعًا بقراءة خارج نطاق الكومة 

(OOB) - تم استخدامها مرتين - ثم تم تحويلها من الجذر إلى kernel عبر وقت وقت التحقق 

(TOCTOU) ) علة. لسوء الحظ ، كان ذلك مجرد فوز جزئي لأن شركة آبل تعرف بالفعل أحد الأخطاء 

التي تم استخدامها في العرض التوضيحي. ومع ذلك ، فقد كسبوا أنفسهم 45000 دولار أمريكي و 4 

نقاط مقابل Master of Pwn.