Pwn2Own 2023参赛者三天内利用27个零日漏洞 赢得超过100万美元奖金
Pwn2Own2023参赛者三天内利用27个零日漏洞赢得超过100万美元奖金每年,安全研究人员和代码专家都会加入数字战场,希望能大获全胜,赢得ZDI提供的丰厚的现金奖励。今年,五支安全专家团队揭露了流行软件和技术产品中的一些黑客行为。在为期三天的活动结束时,参赛者披露了27个独特的零日漏洞,共分得103.5万美元(和被黑的汽车)。渗透测试公司Synacktiv团队获得了"Pwn大师"称号,他们获得了53个Pwn大师积分、53万美元和特斯拉Model3汽车。Synacktiv在第一天取得了绝对的领先优势,其团队攻陷了一辆特斯拉Model3,并破解了macOS的访问权限。第二天,Synacktiv通过展示针对特斯拉信息娱乐系统的堆溢出和OOB写零日漏洞链,进一步巩固了其领先地位。Synacktiv的代码破解者ThomasImbert和ThomasBouzerar还展示了一个在OracleVirtualBox上升级权限的三个漏洞链,价值80000美元。TanguyDubroca在Ubuntu桌面上成功地进行了权限升级演示,获得了30000美元。在第三天的比赛结束时,ThomasImbert又获得了30000美元的奖金,因为他成功地利用Use-After-Free零日漏洞入侵了一个完全打过补丁的Windows11系统。StarLabs在利用了微软SharePoint和VMWareWorkstation的零日漏洞以及UbuntuDesktop上的一个先前已知的碰撞后,获得了19.5万美元和19.5MoP积分,位居第二。Viettel团队获得了第三名,通过入侵微软团队和甲骨文VirtualBox,获得了115000美元和12个MoP积分。QriousSecurity和独立安全研究人员AbdulAzizHariri分别以55000美元(5.5分)和50000美元(5分)的奖金结束了比赛,排名第四和第五。零日计划现在将向各自的软件供应商提供Pwn2Own2023期间演示的所有27个零日漏洞的详细信息。在ZDI公开披露这些漏洞之前,各公司将有90天的时间来修复这些漏洞并发布其安全补丁,无论补丁是否可用。...PC版:https://www.cnbeta.com.tw/articles/soft/1351643.htm手机版:https://m.cnbeta.com.tw/view/1351643.htm