在 Pwn2Own 温哥华 2024 的第一天,参赛者在 Windows 11,特斯拉,Ubuntu Linux 以及其他设备和软件中展示了 19 个零日漏洞,以赢得 732,500 美元和一辆特斯拉 Model 3 汽车。
比赛开始于 Haboob SA 的 Abdul Aziz Hariri 利用 Adobe Reader 漏洞,结合 API 限制绕过和命令注入错误,以在 macOS 上获得代码执行权,从而赚取 50,000 美元。
Synacktiv 在使用整数溢出并通过车辆(VEH)CAN 总线控制在 30 秒内黑客攻击了特斯拉 ECU 后,赢得了特斯拉 Model 3 和 200,000 美元。
理论安全研究员 Gwangun Jung 和 Junoh Lee 利用针对未初始化变量错误、UAF 弱点和基于堆的缓冲区溢出的链条,逃离了 VMware Workstation VM,获得了在主机 Windows 操作系统上作为 SYSTEM 执行代码的能力,因此赚取了 130,000 美元。
"Reverse Tactics" 的 Bruno PUJOS 和 Corentin BAYET 通过利用两个 Oracle VirtualBox 错误和一个 Windows UAF 来逃离虚拟机并提升到 SYSTEM 权限,从而拿到了 90,000 美元。
比赛的第一天以曼弗雷德·保罗黑入苹果 Safari,谷歌 Chrome 和微软 Edge 网页浏览器结束,利用了三个零日漏洞并赢得了 102,500 美元。
原文始发于微信公众号(刨洞安全团队):温哥华Pwn2Own首日,Windows 11、特斯拉和 Ubuntu Linux被攻破
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论