Breaking News

Safari, Virtualbox, VMware trở thành tâm điểm của các vụ tấn công trong ngày đầu tiên của Pwn2Own 2019

Trong ngày đầu tiên của Pwn2Own Vancouver 2019, các thí sinh đã có thể xâm nhập thành công vào trình duyệt web Apple Safari, VirtualBox của Oracle và VMware Workstation, kiếm được tổng cộng 240.000 USD tiền thưởng.

Safari, Virtualbox, VMware trở thành tâm điểm của các vụ tấn công trong ngày đầu tiên của Pwn2Own 2019 - CyberSec365.org
Safari, Virtualbox, VMware trở thành tâm điểm của các vụ tấn công trong ngày đầu tiên của Pwn2Own 2019 - CyberSec365.org
Cụ thể, nhóm Fluoroacetate đã nhắm mục tiêu cả 3 ứng dụng trong ngày đầu tiên của Pwn2Own, khai thác thành công tất cả chúng và đạt được giải thưởng tổng cộng 160.000 USD.
Đầu tiên, nhóm đã khai thác trình duyệt Apple Safari bằng cách sử dụng một lỗi trong JIT và cố gắng thoát ra khỏi SandBox của Apple Safari.
Tiếp theo, nhóm đã sử dụng "an integer underflow and a race condition to escape the virtual machine and pop calc on the underlying OS" khi tiến hành khai thác Oracle VirtualBox.
Chương trình cuối cùng mà họ khai thác là VMware Workstation, và cũng mang về cho họ giải thưởng trị giá 70.000 USD sau khi "leveraging a race condition leading to an out-of-bounds write in the VMware client to execute their code on the host OS."


Cũng trong ngày đầu tiên, anhdaden của STAR Labs đã giành được 35.000 đô la sau khi sử dụng một integer underflow trong máy client của Oracle VirtualBox cho phép anh ta đi từ máy client đến lõi HĐH.
Nhóm phoenhex & qwerty là nhóm duy nhất nhắm mục tiêu trình duyệt web Safari của Apple, một nỗ lực mang lại cho họ giải thưởng 45.000 đô la sau khi leo thang đặc quyền và thoả hiệp được hệ thống. Lỗ hổng được kích hoạt bằng chuỗi khai thác sử dụng a JIT bug followed by heap OOB read, then pivoted from root to kernel via a TOCTOU bug."
Safari, Virtualbox, VMware trở thành tâm điểm của các vụ tấn công trong ngày đầu tiên của Pwn2Own 2019 - CyberSec365.org
Safari, Virtualbox, VMware trở thành tâm điểm của các vụ tấn công trong ngày đầu tiên của Pwn2Own 2019 - CyberSec365.org
Ngoài ra, Pwn2Own Vancouver 2019 là năm đầu tiên có sự xuất hiện của hạng mục ô tô với giải thưởng dao động từ 35.000 USD đến 300.000 USD tuỳ thuộc vào mức độ nguy hiểm của lỗ hổng bị khai thác. Bên cạnh đó, các nhà nghiên cứu khai thác thành công đầu tiên cũng có cơ hội sở hữu chiếc Tesla Model 3 mới nhất.
Safari, Virtualbox, VMware trở thành tâm điểm của các vụ tấn công trong ngày đầu tiên của Pwn2Own 2019 - CyberSec365.org
Safari, Virtualbox, VMware trở thành tâm điểm của các vụ tấn công trong ngày đầu tiên của Pwn2Own 2019 - CyberSec365.org
Theo lịch trình của Pwn2Own Vancouver 2019, trong ngày thứ hai của cuộc thi, các thí sinh sẽ cố gắng khai thác trình duyệt web Mozilla Firefox và Microsoft Edge.

Trong ngày cuối cùng của cuộc thi Pwn2Own năm nay, các nhà nghiên cứu sẽ nhắm mục tiêu thành phần VCSEC và hệ thống thông tin giải trí dựa trên Chromium của Tesla Model 3 trong danh mục ô tô.
Nguồn: Bleeping Computer

Không có nhận xét nào