本周在溫哥華舉行的為期三天的Pwn2Own黑客大會(huì)上，微軟、Ubuntu和Tesla產(chǎn)品的幾個(gè)漏洞被持續(xù)發(fā)現(xiàn)并被利用。該會(huì)議由趨勢(shì)科技的零日計(jì)劃組織，為黑客提供了一個(gè)賺錢(qián)的機(jī)會(huì)，為主流科技廠(chǎng)商們換取發(fā)現(xiàn)和利用流行產(chǎn)品的漏洞。

到星期四第二天結(jié)束時(shí)，會(huì)議已經(jīng)支付了94.5萬(wàn)美元的獎(jiǎng)勵(lì)，其中包括7.5萬(wàn)美元給攻擊性安全公司Synacktiv的黑客，他們?cè)谔厮估璏odel 3信息娛樂(lè)系統(tǒng)中發(fā)現(xiàn)了兩個(gè)獨(dú)特的漏洞。這些漏洞使黑客能夠接管汽車(chē)的一些系統(tǒng)。零日計(jì)劃最后還購(gòu)買(mǎi)了特斯拉Model 3診斷以太網(wǎng)的一個(gè)漏洞，并將其披露給汽車(chē)制造商。

Sea Security Response的安全工程師Bien Pham和美國(guó)西北大學(xué)的一個(gè)團(tuán)隊(duì)展示了Ubuntu臺(tái)式機(jī)上的兩個(gè)"Use After Free"的特權(quán)提升漏洞。這種類(lèi)型的漏洞是由于應(yīng)用程序管理內(nèi)存不善而發(fā)生的漏洞。內(nèi)存損壞的漏洞通常被用來(lái)攻擊和利用瀏覽器。

在比賽的第三天，在Ubuntu中發(fā)現(xiàn)了另一個(gè)Use After Free漏洞，同時(shí)還有其他微軟Windows 11漏洞。

在活動(dòng)的第一天，有16個(gè)零日漏洞在Ubuntu桌面、蘋(píng)果Safari、甲骨文Virtualbox、Mozilla Firefox，以及微軟的Windows 11和Teams中被利用。

上述被利用的16個(gè)零日漏洞獲得了超過(guò)80萬(wàn)美元的獎(jiǎng)勵(lì)。

今年是該比賽舉辦15周年，來(lái)自幾十家網(wǎng)絡(luò)安全公司的17名參賽者針對(duì)21種不同的產(chǎn)品進(jìn)行了多類(lèi)比賽。STAR實(shí)驗(yàn)室在第二天結(jié)束時(shí)以27萬(wàn)美元的總收入領(lǐng)先。

供應(yīng)商有90天的時(shí)間對(duì)比賽期間披露的所有漏洞進(jìn)行修復(fù)。

關(guān)鍵詞： Pwn2Own 2022黑客大賽繼續(xù)拿下特斯拉微軟和Ubuntu cnBeta