Pwn2Own 2022 黑客大赛：Ubuntu 数次被拿下、特斯拉险被攻陷

频道：行业资讯日期：2022-12-15 13:44:04 浏览：1115

本周在温哥华举行的为期三天的Pwn2Own全球2022黑客大赛已落下帷幕。

Pwn2Own全球是全世界最著名,奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商,惠普旗下TippingPoint的项目组ZDI (Zero Day Initiative)主办,参赛者面临的挑战是从广泛使用的软件和移动设备中找出未发现的漏洞。科技公司会对比赛提供支持,并通过黑客的攻击挑战来完善自身产品。

在此次大赛中,微软,Ubuntu,苹果,甲骨文和特斯拉产品的多个漏洞被持续发现并被利用。

Ubuntu被拿下三次:

　　<李>海洋安全(security.sea.com)虎鲸团队发掘了Ubuntu桌面的两个漏洞:越界写入(OOBW)和Use-After-Free (UAF),从而进行了提权,获得4万美元奖金。这种类型的漏洞通常是由于应用程序管理内存不善而引起,通常被用来攻击和利用浏览器。　　

　　<李>美国西北大学监护的团队也成功演示了一个针对Ubuntu桌面进行提权的使用免费后漏洞,获得4万美元奖金。　　

　　<李>明星实验室安全研究员比利Jheng Bing-Jhong比赛第三天也在Ubuntu桌面上成功演示了基于Use-After-Free的漏洞利用,并获得4万美元奖金。　　

除了Ubuntu,特斯拉的漏洞在此次大赛中也被不少黑客看上了.Synacktiv的大卫-和文森特外面通过在Telsa模型3信息娱乐系统中发现的2个独特漏洞(双重释放,OOBW),赚了75000美元奖金。虽然他们没有直接赢得这辆车,但他们赚到的钱足够自己去买一辆。

此外,虽然@Jedar_LZ无法在规定时间内成功攻击特斯拉,但对于他发现的漏洞,主办方也从参赛者手中购买了回来,并披露给特斯拉。

当然,微软家的产品也备受黑客”青睐”,诸如团队和Windows 11都被挖出了多个严重的新漏洞,Firefox, Safari和虚拟盒子也不能幸免。这些厂商<跨风格=" background: rgba (255、255、255、0.65);颜色:# 000000 ">有90天的时间对比赛期间黑客披露的所有漏洞进行修复。