વાર્ષિક પ્વની એવોર્ડ 2021 ના વિજેતાઓની જાહેરાત કરવામાં આવી હતી, જે એક ઉત્કૃષ્ટ ઘટના છે, જેમાં સહભાગીઓ કમ્પ્યુટર સુરક્ષાના ક્ષેત્રમાં સૌથી નોંધપાત્ર નબળાઈઓ અને વાહિયાત ભૂલો જાહેર કરે છે.
પ્યુની એવોર્ડ્સ માહિતી સુરક્ષા ક્ષેત્રે શ્રેષ્ઠતા અને અસમર્થતા બંનેને માન્યતા આપો. સુરક્ષા ઉદ્યોગ વ્યાવસાયિકોની સમિતિ દ્વારા માહિતી સુરક્ષા સમુદાયમાંથી એકત્રિત નામાંકનના આધારે વિજેતાઓની પસંદગી કરવામાં આવે છે.
વિજેતાઓની યાદી
વધુ સારી વિશેષાધિકાર વૃદ્ધિ નબળાઈ: આ એવોર્ડ સુડો યુટિલિટીમાં નબળાઈ CVE-2021-3156 ઓળખવા બદલ કંપની Qualys ને પુરસ્કાર આપવામાં આવ્યો, જે તમને રૂટ વિશેષાધિકારો મેળવવા માટે પરવાનગી આપે છે. નબળાઈ લગભગ 10 વર્ષથી કોડમાં હાજર છે અને તે હકીકત માટે નોંધપાત્ર છે કે તેની તપાસ માટે ઉપયોગિતાના તર્કનું સંપૂર્ણ વિશ્લેષણ જરૂરી છે.
શ્રેષ્ઠ સર્વર ભૂલ: આ સૌથી તકનીકી રીતે જટિલ બગને ઓળખવા અને તેનું શોષણ કરવા બદલ પુરસ્કાર આપવામાં આવ્યો અને નેટવર્ક સેવામાં રસપ્રદ. ઓળખ માટે વિજય અપાયો હતો માઈક્રોસોફ્ટ એક્સચેન્જ સામે હુમલાનું નવું વેક્ટર. આ વર્ગની તમામ નબળાઈઓ અંગેની માહિતી બહાર પાડવામાં આવી નથી, પરંતુ નબળાઈ CVE-2021-26855 (પ્રોક્સીલોગન) વિશેની માહિતી પહેલેથી જ જાહેર કરવામાં આવી છે, જે તમને પ્રમાણીકરણ વિના મનસ્વી વપરાશકર્તા પાસેથી ડેટા પુનઃપ્રાપ્ત કરવાની મંજૂરી આપે છે, અને CVE-2021-27065, જે તમને એડમિનિસ્ટ્રેટર અધિકારો સાથે સર્વર પર તમારો કોડ ચલાવવા માટે પરવાનગી આપે છે.
શ્રેષ્ઠ ક્રિપ્ટો હુમલો: આપવામાં આવ્યું હતું સિસ્ટમમાં સૌથી નોંધપાત્ર નિષ્ફળતાઓને ઓળખવા માટે, પ્રોટોકોલ્સ અને વાસ્તવિક એન્ક્રિપ્શન અલ્ગોરિધમ્સ. ઇનામ એફતે નબળાઈ (CVE-2020-0601) માટે માઇક્રોસોફ્ટને રજૂ કરવામાં આવ્યું હતું. એલિપ્ટિક કર્વ ડિજિટલ સિગ્નેચરના અમલીકરણમાં જે સાર્વજનિક કીઓ પર આધારિત ખાનગી કી બનાવવાની મંજૂરી આપે છે. આ મુદ્દાએ HTTPS અને નકલી ડિજિટલ હસ્તાક્ષરો માટે બનાવટી TLS પ્રમાણપત્રો બનાવવાની મંજૂરી આપી હતી, જેને Windows એ વિશ્વાસપાત્ર તરીકે ચકાસ્યું હતું.
સૌથી નવીન સંશોધન: એવોર્ડ બ્લાઇન્ડસાઇડ પદ્ધતિનો પ્રસ્તાવ મૂકનારા સંશોધકોને એનાયત કરવામાં આવ્યો હતો પ્રોસેસર દ્વારા સૂચનાઓના સટ્ટાકીય અમલના પરિણામે સાઇડ ચેનલ લીક્સનો ઉપયોગ કરીને એડ્રેસ રેન્ડમાઇઝેશન (ASLR) ની સુરક્ષાને ટાળવા માટે.
સૌથી વધુ એપિક FAIL ભૂલો: માઇક્રોસોફ્ટને એક પેચના બહુવિધ પ્રકાશન માટે એનાયત કરવામાં આવે છે જે કામ કરતું નથી વિન્ડોઝ પ્રિન્ટ આઉટપુટ સિસ્ટમમાં PrintNightmare નબળાઈ (CVE-2021-34527) માટે જે તમારા કોડને ચલાવવા માટે પરવાનગી આપે છે. માઈક્રોસોફ્ટ તેણે શરૂઆતમાં આ મુદ્દાને સ્થાનિક તરીકે ફ્લેગ કર્યો, પરંતુ પછીથી તે બહાર આવ્યું કે હુમલો દૂરથી કરવામાં આવી શકે છે. માઇક્રોસોફ્ટે પછી ચાર વખત અપડેટ્સ બહાર પાડ્યા, પરંતુ દરેક વખતે સોલ્યુશનમાં ફક્ત એક ખાસ કેસ આવરી લેવામાં આવ્યો, અને સંશોધકોએ હુમલો કરવા માટે એક નવો રસ્તો શોધી કાઢ્યો.
ક્લાયંટ સ softwareફ્ટવેરમાં શ્રેષ્ઠ ભૂલ: તે એવોર્ડ હતો સેમસંગની સુરક્ષિત ક્રિપ્ટોગ્રાફીમાં CVE-2020-28341 નબળાઈ શોધનાર સંશોધકને એનાયત CC EAL 5+ સુરક્ષા પ્રમાણપત્ર મેળવ્યું. નબળાઈએ સુરક્ષાને સંપૂર્ણપણે બાયપાસ કરવાનું અને એન્ક્લેવમાં સંગ્રહિત ચિપ અને ડેટા પર ચાલતા કોડની ઍક્સેસ મેળવવાનું, સ્ક્રીન સેવર લૉકને બાયપાસ કરવાનું અને પાછળના દરવાજાને છુપાવવા માટે ફર્મવેરમાં ફેરફાર કરવાનું શક્ય બનાવ્યું.
સૌથી ઓછો અંદાજ કરાયેલ નબળાઈ: એવોર્ડ હતો એક્ઝિમ મેઇલ સર્વરમાં સંખ્યાબંધ 21 નેલ્સ નબળાઈઓની ઓળખ માટે ક્વોલિસને એનાયત કરવામાં આવ્યો, જેમાંથી 10નો દૂરથી ઉપયોગ કરી શકાય છે. એક્ઝિમ ડેવલપર્સ મુદ્દાઓનું શોષણ કરવા અંગે શંકાશીલ હતા અને ઉકેલો વિકસાવવામાં 6 મહિનાથી વધુ સમય પસાર કર્યો હતો.
ઉત્પાદક તરફથી સૌથી નબળો જવાબ: આ એક નોમિનેશન છે તમારા પોતાના ઉત્પાદનમાં નબળાઈના અહેવાલના સૌથી અયોગ્ય પ્રતિભાવ માટે. વિજેતા સેલેબ્રાઈટ હતા, જે કાયદાના અમલીકરણ માટે ફોરેન્સિક અને ડેટા માઈનિંગ એપ્લિકેશન હતી. સિગ્નલ પ્રોટોકોલના લેખક, મોક્સી માર્લિન્સપાઈક દ્વારા પ્રકાશિત નબળાઈના અહેવાલને સેલેબ્રાઈટે પૂરતો પ્રતિસાદ આપ્યો ન હતો. એન્ક્રિપ્ટેડ સિગ્નલ સંદેશાઓને તોડવા માટે ટેક્નોલોજી બનાવવા વિશે મીડિયા વાર્તા પોસ્ટ કર્યા પછી મોક્સીને સેલેબ્રાઈટમાં રસ પડ્યો, જે પાછળથી સેલેબ્રાઈટ વેબસાઈટ પરના લેખમાંની માહિતીના ખોટા અર્થઘટનને કારણે ખોટા હોવાનું બહાર આવ્યું. , જે પાછળથી દૂર કરવામાં આવી હતી ( "હુમલો" માટે ફોનની ભૌતિક ઍક્સેસ અને સ્ક્રીનને અનલૉક કરવાની ક્ષમતા જરૂરી છે, એટલે કે, તે મેસેન્જરમાં સંદેશાઓ જોવા માટે ઘટાડવામાં આવી હતી, પરંતુ મેન્યુઅલી નહીં, પરંતુ વપરાશકર્તાની ક્રિયાઓનું અનુકરણ કરતી વિશિષ્ટ એપ્લિકેશનનો ઉપયોગ કરીને ).
મોક્સીએ સેલેબ્રાઈટ એપ્લીકેશનની તપાસ કરી અને ગંભીર નબળાઈઓ શોધી કાઢી જે ખાસ રીતે રચાયેલ ડેટાને સ્કેન કરવાનો પ્રયાસ કરતી વખતે મનસ્વી કોડને અમલમાં મૂકવાની મંજૂરી આપે છે. Celebrite એપ એ હકીકત પણ જાહેર કરે છે કે તે જૂની ffmpeg લાઇબ્રેરીનો ઉપયોગ કરે છે જે 9 વર્ષથી અપડેટ કરવામાં આવી નથી અને તેમાં મોટી સંખ્યામાં અનપેચ્ડ નબળાઈઓ છે. સમસ્યાઓને સ્વીકારવા અને તેને ઠીક કરવાને બદલે, Celebrite એ નિવેદન બહાર પાડ્યું કે તે વપરાશકર્તાના ડેટાની અખંડિતતાની કાળજી રાખે છે, તેના ઉત્પાદનોની સુરક્ષાને યોગ્ય સ્તરે રાખે છે.
છેલ્લે સૌથી મોટી સિદ્ધિ - આઈડીએ ડિસએસેમ્બલર અને હેક્સ-રે ડિકમ્પાઈલરના લેખક ઈલ્ફાક ગિલફાનોવને એનાયત, સુરક્ષા સંશોધકો માટે સાધનોના વિકાસમાં તેમના યોગદાન અને ઉત્પાદનને 30 વર્ષ સુધી અદ્યતન રાખવાની તેમની ક્ષમતા માટે.
સ્રોત: https://pwnies.com