毎年、ゼロデイイニシアチブは「Pwn2Own」ハッキングコンテストを主催し、セキュリティ研究者はWindowsやmacOSなどの主要なプラットフォームの深刻な脆弱性を見つけるためにお金を稼ぐことができます。
この2021年のPwn2Own仮想イベントは今週初めに開始され、Webブラウザー、仮想化、サーバーなどを含む10の異なる製品にわたる23の別々のハッキングの試みを特色としました。 1日数時間にわたる3日間の事件で、今年のPwn2OwnイベントはYouTubeでライブストリーミングされました。
Apple製品はPwn2Own2021で大きな標的にはなりませんでしたが、初日、RET2SystemsのJackDatesがSafariからカーネルへのゼロデイエクスプロイトを実行し、$ 100,000を獲得しました。以下のツイートでデモされているように、彼はSafariで整数のオーバーフローとOOB書き込みを使用して、カーネルレベルのコードを実行しました。
おめでとうジャック!ワンクリックのAppleSafariをカーネルゼロデイに上陸させる #Pwn2Own RET2に代わって2021年: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs — RET2システム(@ ret2systems) 2021年4月6日
Pwn2Ownイベント中の他のハッキングの試みは、Microsoft Exchange、Parallels、Windows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome、およびMicrosoftEdgeを対象としました。
深刻なズームの欠陥は、たとえばオランダの研究者DaanKeuperとThijsAlkemadeによって実証されました。デュオは3つの欠陥を悪用して、ユーザーの操作なしでZoomアプリを使用してターゲットPCを完全に制御しました。
まだ詳細を確認中です #ズーム DaanとThijsを使用して悪用しますが、実際のバグのより良いgifを次に示します。 #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW —ゼロデイイニシアチブ(@thezdi) 2021年4月7日
Pwn2Ownの参加者は、発見したバグに対して120万ドル以上の報酬を受け取りました。 Pwn2Ownは、Appleのようなベンダーに90日間の猶予を与えて、発見された脆弱性の修正を作成します。そのため、それほど遠くない将来にアップデートでバグが解決されることが期待できます。
人気の投稿