نرم‌افزارهای اپل، اوراکل و وی‌ام‌ویر در اولین روز رویداد Pwn2Own  مورد نفوذ قرار گرفت!

نرم‌افزارهای اپل، اوراکل و وی‌ام‌ویر در اولین روز رویداد Pwn2Own مورد نفوذ قرار گرفت!

چهار شنبه, 27 مارس, 2019 ساعت 12:24

براساس گزارش‌های منتشرشده، محققان امنیتی توانستند با نفوذ به مرورگر وب سافاری اپل و نرم‌افزارهای مجازی‌سازی VirtualBox اوراکل و VMware Workstation در اولین روز رویداد Pwn2Own 2019، در مجموع ۲۴۰هزار دلار پاداش دریافت کنند. در رویداد Pwn2Own 2019 که از تاریخ ۲۰ الی ۲۲ ماه مارس در ونکوور کانادا توسط واحد Zero Day Initiative (ZDI)  شرکت امنیتی ترندمیکرو برگزار شد، بیش از یک میلیون دلار پاداش برای نفوذگران کلاه‌سفید در نظر گرفته شده است. علاوه‌براین، برای اولین بار در تاریخ این رقابت‌ها شرکت‌کنندگان می‌توانند با نفوذ به اتومبیل تسلا مدل ۳، این اتومبیل را به‌همراه ۳۰۰ هزار دلار به‌عنوان پاداش دریافت کنند.

در اولین روز این رویداد، آمات کاما و ریچارد ژو از تیم امنیتی Fluoroacetate با بهره‌برداری از آسیب‌پذیری مرورگر سافاری ۵۵ هزار دلار به‌دست آوردند. این آسیب‌پذیری‌ها شامل یک سرریز عدد صحیح و یک سرریز پشته بود که به آن‌ها اجازه می‌داد تا جعبه‌ی شنی این مرورگر را دور بزنند. جالب توجه است که این نفوذگران کلاه‌سفید از یک فناوری جستجوی فراگیر برای این منظور استفاده کردند. علاوه‌براین، این محققان با نفوذ به نرم‌افزار VirtualBox اوراکل، ۳۵ هزار دلار دیگر نیز دریافت کردند. آن‌ها در تلاش دوم خود با بهره‌برداری از یک اشکال سرریز عدد صحیح و شرایط رقابتی، موفق به ارتقاء امتیاز و اجرای کد دلخواه شدند. آن‌ها همچنین  ۷۰هزار دلار برای نفوذ به دستگاه مجازی‌سازی VMware Workstation و اجرای کد بر روی سیستم عامل اصلی میزبان دریافت کردند. گروه امنیتی Fluoroacetate در روز اول این رویداد در مجموع مبلغ ۱۶۰هزار دلار به‌دست آورد.

محقق دیگری از گروه امنیتی STAR Labs نیز ۳۵۵ هزار دلار برای نفوذ به نرم‌افزار VirtualBox اوراکل دریافت کرد. او توانست با بهره‌برداری از آسیب‌پذیری سرریز عدد صحیح که توسط گروه Fluoroacetate کشف شده بود، امتیازات خود را ارتقاء داده و کد دلخواه را بر روی میزبان اجرا کند. درنهایت، گروه phoenhex & qwerty برای بهره‌برداری از آسیب‌پذیری موجود در مرورگر سافاری اپل از طریق ارتقای کرنل، توانست ۴۵ هزار دلار به‌دست آورد. این آسیب‌پذیری‌ها شامل یک اشکال JIT، یک اشکال خواندن خارج از محدوده (OOB) هیپ و یک نقص TOCTOU بود که منجر به بازدید از یک وب‌سایت مخرب می‌شد. در روز دوم این رویداد، محققان تلاش کردند تا مرورگرهای موزیلا فایرفاکس و مایکروسافت اِج را مورد نفوذ قرار دهند. روز سوم نیز به نفوذ به تسلا اختصاص داده شده بود.

منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو × 4 =