Applen Safarista, Google Chromesta ja Microsoft Edgestä sekä Zoomista paljastettiin haavoittuvuudet Pwn2Own 2021:ssä – palkkioksi 100 000 tai 200 000 dollaria

Tällä kertaa etäjärjestelyin läpi viedyssä Pwn2Own 2021 -tapahtumassa on tällä viikolla esitelty jälleen lukuisia uusia merkittäviä haavoittuvuuksia.

Tietoturvatutkijat ovat esitelleet löytämiään haavoittuvuuksia muun muassa Applen Safari-verkkoselaimesta, kuin myös Google Chrome -verkkoselaimesta ja sen kanssa saman selainmoottorin jakavasta Microsoft Edgestä, sekä videopuhelupalvelu Zoomista.

Pwn2Own 2021 -tapahtumaa tukee Trend Micro -tietoturvayhtiön Zero Day Initiative, joka rohkaisee sovelluskehittäjiä ja tutkijoita raportoimaan nollapäivähaavoittuvuuksista vastuullisesti haavoittuvuuksien hyökkääjien käytettäväksi myymisen sijaan.

RET2 Systemsin tietoturvatutkija Jack Dates onnistui käyttämään ylivuotovirhettä Applen Safarissa yhdistettynä rajoitusten ulkopuoliseen muistiin kirjoittamiseen päästäkseen ajamaan koodia kernel-tasolla, eli käytännössä vapaasti. Palkkiona tämän haavoittuvuuden löytämisestä Dates keräsi 100 000 dollaria.

Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at #Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs

— RET2 Systems (@ret2systems) April 6, 2021

Dataflow Securityn Bruno Keith ja Niklas Baumstark puolestaan hyödynsivät Typer Mismatch -bugia Google Chromen ja Microsoft Edgen käyttämässä renderöintimoottorissa hyökkäyskoodin ajamiseen, ja keräsivät palkkiona myös 100 000 dollaria.

Erittäin vakava haavoittuvuus Pwn2Own 2021:ssä esiteltiin verkkoselainten ohella myös Zoom-videopuhelupalvelun osalta. Computestin Daan Keuper ja Thijs Alkemade onnistuivat käyttämään kolmen erillisen bugin ketjua ja mahdollistamaan hyökkäyskoodin ajamisen kohdejärjestelmässä Zoomin kautta – ilman, että käyttäjän tarvitsee tehdä mitään. Tietoturvatutkijoiden palkkio haavoittuvuudesta oli 200 000 dollaria.

Sekä Applen Safarin, Google Chromen ja Microsoft Edgen sekä Zoomin osalta haavoittuvuuksiin voidaan odottaa korjauksia tulevissa päivityksissä.

Kuluttajakäytössä tuttujen ohjelmistojen lisäksi Pwn2Own 2021:ssä esiteltiin myös Microsoftin Exchange-palvelimeen liittyvä merkittävä autentikoinnin ohituksen ja oikeuksien korottamisen haavoittuvuus, josta sitä esitellyt DEVCORE-tiimi sai palkkioksi 200 000 dollaria.

Yhteensä Pwn2Own 2021 -tapahtumassa esiteltiin 23 eri haavoittuvuutta ja tietoturvatutkijat keräsivät 1 210 000 dollarin palkintopotin. Edellä mainittujen lisäksi vähäisempiä haavoittuvuuksia löytyi myös Windows 10:stä.

Lisätietoa löytyy Pwn2Own 2021 -sivuilta.

And that brings #Pwn2Own 2021 to a close. Researchers earned $1,210,000 over the 3-day event. Join @dustin_childs, @abdhariri, and @MaliciousInput as they discuss the highlights of the contest and reveal the Master or Pwn. pic.twitter.com/qN5CFztm87

— Zero Day Initiative (@thezdi) April 8, 2021

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla