温哥华Pwn2Own首日，Windows 11、特斯拉和 Ubuntu Linux被攻破

在 Pwn2Own 温哥华 2024 的第一天，参赛者在 Windows 11，特斯拉，Ubuntu Linux 以及其他设备和软件中展示了 19 个零日漏洞，以赢得 732,500 美元和一辆特斯拉 Model 3 汽车。

比赛开始于 Haboob SA 的 Abdul Aziz Hariri 利用 Adobe Reader 漏洞，结合 API 限制绕过和命令注入错误，以在 macOS 上获得代码执行权，从而赚取 50,000 美元。

Synacktiv 在使用整数溢出并通过车辆（VEH）CAN 总线控制在 30 秒内黑客攻击了特斯拉 ECU 后，赢得了特斯拉 Model 3 和 200,000 美元。

理论安全研究员 Gwangun Jung 和 Junoh Lee 利用针对未初始化变量错误、UAF 弱点和基于堆的缓冲区溢出的链条，逃离了 VMware Workstation VM，获得了在主机 Windows 操作系统上作为 SYSTEM 执行代码的能力，因此赚取了 130,000 美元。

"Reverse Tactics" 的 Bruno PUJOS 和 Corentin BAYET 通过利用两个 Oracle VirtualBox 错误和一个 Windows UAF 来逃离虚拟机并提升到 SYSTEM 权限，从而拿到了 90,000 美元。

比赛的第一天以曼弗雷德·保罗黑入苹果 Safari，谷歌 Chrome 和微软 Edge 网页浏览器结束，利用了三个零日漏洞并赢得了 102,500 美元。

原文始发于微信公众号（刨洞安全团队）：温哥华Pwn2Own首日，Windows 11、特斯拉和 Ubuntu Linux被攻破