Boom! It takes @abdhariri less than 15 seconds to kick off #Pwn2Own Vancouver with a successful exploit of #Adobe Reader on macOS. He's off to the disclosure room to discuss the details of his research. pic.twitter.com/CpZmLKQzhH
— Zero Day Initiative (@thezdi) March 22, 2023
Success! @abdhariri of @HaboobSa completed his attack against Adobe Reader using a 6-bug logic chain exploiting multiple failed patches which escaped the sandbox and bypassed a banned API list. He earns $50,000 and 5 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/zW8OU2PkAE
— Zero Day Initiative (@thezdi) March 22, 2023
AbdulAziz Hariri-nek kevesebb mint 15 másodperc kellett a macOS-en futó Adobe Reader feltöréséhez ☝️
It took @testanull from @starlabs_sg just 30 seconds to exploit #SharePoint on his first attempt. He's off to the disclosure room to go over the details of the impressive display. #Pwn2Own #P2OVancouver
— Zero Day Initiative (@thezdi) March 22, 2023
Success! @testanull of @starlabs_sg was able to execute a 2-bug chain on Microsoft SharePoint. They earn $100,000 and 10 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/PxadHs8kKZ
— Zero Day Initiative (@thezdi) March 22, 2023
Elesett a Microsoft SharePoint is, mindössze 30 másodperc kellett az exploit sikeres futtatásához ☝️
Confirmed! Bien Pham (@bienpnn) from Qrious Security (@qriousec) used an OOB Read and a stacked-based buffer overflow to exploit #Oracle VirtualBox. He wins $40K and 4 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/aXfYggBBEC
— Zero Day Initiative (@thezdi) March 22, 2023
Az Oracle VirtualBox is elesett ☝️
CONFIRMED! @Synacktiv successfully executed a TOCTOU exploit against Tesla – Gateway. They earn $100,000 as well as 10 Master of Pwn points and this Tesla Model 3. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl
— Zero Day Initiative (@thezdi) March 22, 2023
Meghackelték a Tesla Gateway-t is. 100 000 USD és egy Tesla 3 volt a díj. Plusz pontok. ☝️
Collision: @starlabs_sg successfully executed their attack against Ubuntu Desktop, but the exploit was previously known. They earn $15,000 and 1.5 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/xgAxktMnjG
— Zero Day Initiative (@thezdi) March 22, 2023
Ubuntu Desktop-ot is sikeresen támadták. A támadás értékéből levon kicsit az, hogy az exploit már ismert volt. ☝️
Success! @Synacktiv used a TOCTOU bug to escalate privileges on Apple macOS. They earn $40,000 and 4 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/IS5AFBn3Lm
— Zero Day Initiative (@thezdi) March 22, 2023
A macOS is áldozatul esett ... ☝️
Success! Marcin Wiązowski used an improper input validation bug to elevate privileges on Windows 11. He earns $30,000 and 3 Master of Pwn points. #Pwn2Own #P2OVancouver pic.twitter.com/aoq12AaGfn
— Zero Day Initiative (@thezdi) March 22, 2023
és a Windows 11 is ... ☝️
That wraps up the first day of #P2OVancouver 2023! We awarded $375,000 (and a Tesla Model 3!) for 12 zero-days during the first day of the contest. Stay tuned for day two of the contest tomorrow! #Pwn2Own pic.twitter.com/UTvzqxmi8E
— Zero Day Initiative (@thezdi) March 22, 2023
A pontverseny állása az első nap után ☝️
#P2OVancouver Day 1 Highlights – @starlabs_sg executes a 2-bug chain against Microsoft SharePoint. #Pwn2Own pic.twitter.com/lBExM0Y7mh
— Zero Day Initiative (@thezdi) March 22, 2023
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Mert az újabb mindig jobb™ és biztonságosabb™.
- A hozzászóláshoz be kell jelentkezni
azt akarod mondni hogy a régiekben nincs is hiba? :OOOOOOOOOOOOOOOOOOOOOO
- A hozzászóláshoz be kell jelentkezni
Azt akarom mondani, hogy a régiekben fix számú hiba van, amit ha javítanak, a hibák száma monoton csökkenő tendenciát vesz. Eközben az állandóan innovált™ (értsd: feleslegesen kerékújrafeltalált) szoftverekben újratermelődik.
Azt akarom mondani, hogy a régiekben fix számú hiba nagy része javított, vagy ha nem, legalább ismert és így lehet workaroundolni, vagy védekezni ellene. Eközben az állandóan innovált™ szoftverekben a kerékújrafeltalálgatás közben vétett új hibák nagy része csak a dark web, hackerék és a különféle titkosszolgálatok számára ismert, egészen addig, amíg ki nem jön valamelyik hackerversenyen, vagy valamelyik konkurens multi nem full disclosure-öl, de addigra már bekerült még egyszer ugyanannyi hiba a fejjel a falnak agilitásnak™ és a babzsákfejlesztői morálnak köszönhetően.
- A hozzászóláshoz be kell jelentkezni
Ebben mondjuk igazad van.
van is az a mondás, hogy:
a szoftverfrissítés a régi ismert hibák, új ismeretlenekre való cserélését jelenti.
Az 'agilis módszertan' a gyakorlatban még rátesz erre egy lapáttál:
nem kell 'bugfixekkel' foglalkozni, majd a következő release-ben javítjuk...
A végeredményt mindannyian láthatjuk - csak várhatóan más-más szemszögből.
- A hozzászóláshoz be kell jelentkezni
Mindeközben máshol:
Hackers Drain Bitcoin ATMs of $1.5 Million By Exploiting 0-Day Bug https://t.co/dBd3KOvB0H
— Slashdot (@slashdot) March 23, 2023
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ugy tudom, semmi 0day nem volt ebben. hekker megtalalta a CC nyitvahagyott portjat, amit raadasul rosszul is configoltak be.
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Ubuntu Desktop-ot is sikeresen támadták. A támadás értékéből levon kicsit az, hogy az exploit már ismert volt.
Ez a Ubuntu értékéből is levon kicsit, nem?
- A hozzászóláshoz be kell jelentkezni
Attól függ, frissen volt tartva az az Ubuntu amin futott az exploit?
- A hozzászóláshoz be kell jelentkezni
Nem olvastam túl sokat a témában, de elég komolytalan lenne az egész show, ha nem legfrissebb, naprakész rendszereket, szoftvereket törnének.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
igen, de a szépséghibája, hogy ezeket nem ott és akkor 'találják' ám...
Sokkal inkább egész évben 'gyűjtögetik', tesztelik, felkészülnek hogy a következő ilyen - vagy hasonló - eseményen kijátszák ad adujukat.
Ezidő alatt a vendor sem tud róla, de természetesen a hibák valósak és legtöbbször kihasználhatóak is.
A többit a fantáziádra bízom.
És mint az élet minden területén, vannak akik inkább sötét oldallal üzletelnek. - a szépen hangzó nyeremények többszöröséért.
- A hozzászóláshoz be kell jelentkezni
Gondolod, hogy érdemes egy éven keresztül ülni egy exploiton remélve hogy addig más nem találja meg, és nem lesz befoltozva?
- A hozzászóláshoz be kell jelentkezni
Nem vagyok biztos benne, hogy csak egy exploiton ülnek.
- A hozzászóláshoz be kell jelentkezni
ezzel nem feltétlenül értek egyet. a régi sw-ben sokszor egy csomó hiba van amit nem lehet javítani, mert a funkcionalitás rovására megy. sajnos sok olyan sw láttam ahol xy verzioval működött a funkció. ha firssítettek volna az sok száz komponenst érint. ezért inkább workaroundoltak ami soha nem lehetett 100%-s. az újban is lehet hiba és ahogy írták nem feltétlenül etikusan teszik közzé, sajnos - de én azt látom h kód szinten javulnak a dolgok. Tervezésileg és üzletileg már nem feltétlenül....
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni