2021 ರ ಪೌನಿ ಪ್ರಶಸ್ತಿ ವಿಜೇತರನ್ನು ಈಗಾಗಲೇ ಘೋಷಿಸಲಾಗಿದೆ

Darkcrizt

4 ನಿಮಿಷಗಳು

ವಾರ್ಷಿಕ Pwnie Awards 2021 ರ ವಿಜೇತರನ್ನು ಘೋಷಿಸಲಾಯಿತು, ಇದು ಒಂದು ಪ್ರಮುಖ ಘಟನೆಯಾಗಿದೆ, ಇದರಲ್ಲಿ ಭಾಗವಹಿಸುವವರು ಕಂಪ್ಯೂಟರ್ ಸುರಕ್ಷತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ದೋಷಗಳು ಮತ್ತು ಅಸಂಬದ್ಧ ನ್ಯೂನತೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತಾರೆ.

ಪ್ವ್ನಿ ಪ್ರಶಸ್ತಿಗಳು ಮಾಹಿತಿ ಭದ್ರತಾ ಕ್ಷೇತ್ರದಲ್ಲಿ ಶ್ರೇಷ್ಠತೆ ಮತ್ತು ಅಸಮರ್ಥತೆ ಎರಡನ್ನೂ ಅವರು ಗುರುತಿಸುತ್ತಾರೆ. ಮಾಹಿತಿ ಭದ್ರತಾ ಸಮುದಾಯದಿಂದ ಸಂಗ್ರಹಿಸಲಾದ ನಾಮನಿರ್ದೇಶನಗಳಿಂದ ಭದ್ರತಾ ಉದ್ಯಮದ ವೃತ್ತಿಪರರ ಸಮಿತಿಯಿಂದ ವಿಜೇತರನ್ನು ಆಯ್ಕೆ ಮಾಡಲಾಗುತ್ತದೆ.

ವಿಜೇತರ ಪಟ್ಟಿ

ಉತ್ತಮ ಸವಲತ್ತು ಏರಿಕೆ ದುರ್ಬಲತೆ: ಈ ಪ್ರಶಸ್ತಿ ಸುಡೋ ಯುಟಿಲಿಟಿಯಲ್ಲಿ ಸಿವಿಇ -2021-3156 ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲು ಕಂಪನಿಯ ಕ್ವಾಲಿಸ್‌ಗೆ ನೀಡಲಾಗಿದೆ, ಇದು ನಿಮಗೆ ರೂಟ್ ಸವಲತ್ತುಗಳನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ದುರ್ಬಲತೆಯು ಸುಮಾರು 10 ವರ್ಷಗಳ ಕಾಲ ಕೋಡ್‌ನಲ್ಲಿದೆ ಮತ್ತು ಅದರ ಪತ್ತೆಗೆ ಉಪಯುಕ್ತತೆಯ ತರ್ಕದ ಸಂಪೂರ್ಣ ವಿಶ್ಲೇಷಣೆಯ ಅಗತ್ಯವಿದೆ ಎಂಬ ಅಂಶದಿಂದಾಗಿ ಗಮನಾರ್ಹವಾಗಿದೆ.

ಅತ್ಯುತ್ತಮ ಸರ್ವರ್ ದೋಷ: ಇದು ಅತ್ಯಂತ ತಾಂತ್ರಿಕವಾಗಿ ಸಂಕೀರ್ಣವಾದ ದೋಷವನ್ನು ಗುರುತಿಸಿ ಮತ್ತು ಬಳಸಿಕೊಂಡಿದ್ದಕ್ಕಾಗಿ ಪ್ರಶಸ್ತಿ ನೀಡಲಾಗಿದೆ ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಸೇವೆಯಲ್ಲಿ ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ. ಗುರುತಿಸಿದ್ದಕ್ಕಾಗಿ ವಿಜಯವನ್ನು ನೀಡಲಾಯಿತು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್ಚೇಂಜ್ ವಿರುದ್ಧದ ದಾಳಿಯ ಹೊಸ ವಾಹಕ. ಈ ತರಗತಿಯ ಎಲ್ಲಾ ದೋಷಗಳ ಮಾಹಿತಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿಲ್ಲ, ಆದರೆ ಸಿವಿಇ -2021-26855 (ಪ್ರಾಕ್ಸಿ ಲೋಗನ್) ದೌರ್ಬಲ್ಯದ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಈಗಾಗಲೇ ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ, ಇದು ದೃ withoutೀಕರಣವಿಲ್ಲದೆ ಅನಿಯಂತ್ರಿತ ಬಳಕೆದಾರರಿಂದ ಡೇಟಾವನ್ನು ಹಿಂಪಡೆಯಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಮತ್ತು CVE-2021-27065, ಇದು ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸರ್ವರ್‌ನಲ್ಲಿ ಚಲಾಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

ಅತ್ಯುತ್ತಮ ಕ್ರಿಪ್ಟೋ ದಾಳಿ: ಮಂಜೂರು ಮಾಡಲಾಯಿತು ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಅತ್ಯಂತ ಮಹತ್ವದ ವೈಫಲ್ಯಗಳನ್ನು ಗುರುತಿಸಲು, ಪ್ರೋಟೋಕಾಲ್‌ಗಳು ಮತ್ತು ನೈಜ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳು. ಬಹುಮಾನ ಎಫ್ಇದನ್ನು ದುರ್ಬಲತೆಗಾಗಿ ಮೈಕ್ರೋಸಾಫ್ಟ್‌ಗೆ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ (CVE-2020-0601) ಎಲಿಪ್ಟಿಕ್ ಕರ್ವ್ ಡಿಜಿಟಲ್ ಸಹಿಗಳ ಅನುಷ್ಠಾನದಲ್ಲಿ ಸಾರ್ವಜನಿಕ ಕೀಲಿಗಳ ಆಧಾರದ ಮೇಲೆ ಖಾಸಗಿ ಕೀಗಳ ಉತ್ಪಾದನೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಈ ಸಮಸ್ಯೆಯು HTTPS ಗಾಗಿ ನಕಲಿ TLS ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮತ್ತು ನಕಲಿ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ರಚಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು, ಇದನ್ನು ವಿಂಡೋಸ್ ನಂಬಲರ್ಹವೆಂದು ದೃrifiedಪಡಿಸಿತು.

ಅತ್ಯಂತ ನವೀನ ಸಂಶೋಧನೆ: ಪ್ರಶಸ್ತಿ ಬ್ಲೈಂಡ್ ಸೈಡ್ ವಿಧಾನವನ್ನು ಪ್ರಸ್ತಾಪಿಸಿದ ಸಂಶೋಧಕರಿಗೆ ನೀಡಲಾಗಿದೆ ವಿಳಾಸದ ಯಾದೃಚ್ಛೀಕರಣದ (ASLR) ಸುರಕ್ಷತೆಯನ್ನು ತಪ್ಪಿಸಲು ಸೈಡ್ ಚಾನೆಲ್ ಸೋರಿಕೆಯನ್ನು ಬಳಸಿ ಪ್ರೊಸೆಸರ್ ಮೂಲಕ ಸೂಚನೆಗಳ ಊಹಾತ್ಮಕ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ.

ಹೆಚ್ಚಿನ ಮಹಾಕಾವ್ಯ FAIL ದೋಷಗಳು: ಕಾರ್ಯನಿರ್ವಹಿಸದ ಪ್ಯಾಚ್‌ನ ಬಹು ಬಿಡುಗಡೆಗಾಗಿ ಮೈಕ್ರೋಸಾಫ್ಟ್‌ಗೆ ನೀಡಲಾಗಿದೆ ವಿಂಡೋಸ್ ಪ್ರಿಂಟ್ ಔಟ್ಪುಟ್ ಸಿಸ್ಟಂನಲ್ಲಿ ಪ್ರಿಂಟ್ ನೈಟ್ಮೇರ್ ದುರ್ಬಲತೆಗಾಗಿ (CVE-2021-34527) ನಿಮ್ಮ ಕೋಡ್ ರನ್ ಮಾಡಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆರಂಭದಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಸ್ಥಳೀಯ ಎಂದು ಫ್ಲ್ಯಾಗ್ ಮಾಡಲಾಗಿದೆ, ಆದರೆ ನಂತರ ದಾಳಿಯನ್ನು ದೂರದಿಂದಲೇ ನಡೆಸಬಹುದು ಎಂದು ತಿಳಿದುಬಂದಿದೆ. ನಂತರ ಮೈಕ್ರೋಸಾಫ್ಟ್ ನಾಲ್ಕು ಬಾರಿ ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿತು, ಆದರೆ ಪ್ರತಿ ಬಾರಿಯೂ ಪರಿಹಾರವು ಒಂದು ವಿಶೇಷ ಪ್ರಕರಣವನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿದೆ, ಮತ್ತು ಸಂಶೋಧಕರು ದಾಳಿಯನ್ನು ನಡೆಸಲು ಹೊಸ ಮಾರ್ಗವನ್ನು ಕಂಡುಕೊಂಡರು.

ಕ್ಲೈಂಟ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನಲ್ಲಿ ಅತ್ಯುತ್ತಮ ದೋಷ: ಆ ಪ್ರಶಸ್ತಿ ಸ್ಯಾಮ್‌ಸಂಗ್‌ನ ಸುರಕ್ಷಿತ ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯಲ್ಲಿ CVE-2020-28341 ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿದ ಸಂಶೋಧಕರಿಗೆ ನೀಡಲಾಗಿದೆ CC EAL 5+ ಸುರಕ್ಷತಾ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಿದೆ. ದುರ್ಬಲತೆಯು ರಕ್ಷಣೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ಚಿಪ್‌ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಕೋಡ್ ಮತ್ತು ಎನ್‌ಕ್ಲೇವ್‌ನಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು, ಸ್ಕ್ರೀನ್ ಸೇವರ್ ಲಾಕ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ಫರ್ಮ್‌ವೇರ್‌ನಲ್ಲಿ ಹಿಡನ್ ಡೋರ್ ಅನ್ನು ರಚಿಸಲು ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲು ಸಾಧ್ಯವಾಗಿಸಿತು.

ಅತ್ಯಂತ ಕಡಿಮೆ ಅಂದಾಜು ಮಾಡಿದ ದುರ್ಬಲತೆ: ಪ್ರಶಸ್ತಿ ಆಗಿತ್ತು ಎಕ್ಸಿಮ್ ಮೇಲ್ ಸರ್ವರ್‌ನಲ್ಲಿನ 21 ನೈಲ್ಸ್ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು ಕ್ವಾಲಿಸ್‌ಗೆ ನೀಡಲಾಗಿದೆ, ಅದರಲ್ಲಿ 10 ಅನ್ನು ದೂರದಿಂದ ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಎಕ್ಸಿಮ್ ಡೆವಲಪರ್‌ಗಳು ಸಮಸ್ಯೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಬಗ್ಗೆ ಸಂಶಯ ಹೊಂದಿದ್ದರು ಮತ್ತು ಪರಿಹಾರಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು 6 ತಿಂಗಳಿಗಿಂತ ಹೆಚ್ಚು ಸಮಯ ಕಳೆದರು.

ಉತ್ಪಾದಕರಿಂದ ದುರ್ಬಲ ಉತ್ತರ: ಇದು ನಾಮನಿರ್ದೇಶನವಾಗಿದೆ ನಿಮ್ಮ ಸ್ವಂತ ಉತ್ಪನ್ನದಲ್ಲಿನ ದುರ್ಬಲತೆಯ ವರದಿಗೆ ಅತ್ಯಂತ ಸೂಕ್ತವಲ್ಲದ ಪ್ರತಿಕ್ರಿಯೆಗಾಗಿ. ಕಾನೂನು ಜಾರಿಗಾಗಿ ವಿಧಿವಿಜ್ಞಾನ ಮತ್ತು ದತ್ತಾಂಶ ಗಣಿಗಾರಿಕೆಯ ಅಪ್ಲಿಕೇಶನ್‌ ಸೆಲ್ಲೆಬ್ರೈಟ್ ವಿಜೇತರು. ಸಿಗ್ನಲ್ ಪ್ರೋಟೋಕಾಲ್‌ನ ಲೇಖಕ ಮಾಕ್ಸಿ ಮಾರ್ಲಿನ್‌ಸ್ಪೈಕ್ ಪ್ರಕಟಿಸಿದ ದುರ್ಬಲತೆಯ ವರದಿಗೆ ಸೆಲೆಬ್ರಿಟ್ ಸಮರ್ಪಕವಾಗಿ ಪ್ರತಿಕ್ರಿಯಿಸಲಿಲ್ಲ. ಸೆಲೆಬ್ರೈಟ್ ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿನ ಲೇಖನದ ಮಾಹಿತಿಯ ತಪ್ಪಾದ ಅರ್ಥೈಸುವಿಕೆಯಿಂದಾಗಿ, ನಂತರ ಸುಳ್ಳು ಎಂದು ಬದಲಾದ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಿಗ್ನಲ್ ಸಂದೇಶಗಳನ್ನು ಮುರಿಯಲು ತಂತ್ರಜ್ಞಾನವನ್ನು ರಚಿಸುವ ಕುರಿತು ಮಾಧ್ಯಮ ಕಥೆಯನ್ನು ಪೋಸ್ಟ್ ಮಾಡಿದ ನಂತರ ಮಾಕ್ಸಿ ಸೆಲೆಬ್ರೈಟ್‌ನಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿದನು. "ದಾಳಿ" ಗೆ ಫೋನ್‌ಗೆ ಭೌತಿಕ ಪ್ರವೇಶ ಮತ್ತು ಪರದೆಯನ್ನು ಅನ್‌ಲಾಕ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯದ ಅಗತ್ಯವಿದೆ, ಅಂದರೆ, ಅದನ್ನು ಮೆಸೆಂಜರ್‌ನಲ್ಲಿ ಸಂದೇಶಗಳನ್ನು ನೋಡುವಂತೆ ಕಡಿಮೆ ಮಾಡಲಾಗಿದೆ, ಆದರೆ ಕೈಯಾರೆ ಅಲ್ಲ, ಆದರೆ ಬಳಕೆದಾರರ ಕ್ರಿಯೆಗಳನ್ನು ಅನುಕರಿಸುವ ವಿಶೇಷ ಅಪ್ಲಿಕೇಶನ್ ಬಳಸಿ)

ಮಾಕ್ಸಿ ಸೆಲೆಬ್ರೈಟ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪರೀಕ್ಷಿಸಿದರು ಮತ್ತು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಡೇಟಾವನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುವ ನಿರ್ಣಾಯಕ ದೋಷಗಳನ್ನು ಕಂಡುಕೊಂಡರು. 9 ವರ್ಷಗಳವರೆಗೆ ನವೀಕರಿಸದ ಮತ್ತು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ತೇಪೆಯಿಲ್ಲದ ದೋಷಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಒಂದು ಹಳತಾದ ffmpeg ಗ್ರಂಥಾಲಯವನ್ನು ಬಳಸಿಕೊಂಡು ಸೆಲ್‌ಬ್ರೈಟ್ ಆಪ್ ಬಹಿರಂಗಪಡಿಸಿದೆ. ಸಮಸ್ಯೆಗಳನ್ನು ಒಪ್ಪಿಕೊಂಡು ಅವುಗಳನ್ನು ಸರಿಪಡಿಸುವ ಬದಲು, ಸೆಲ್ಬ್ರೈಟ್ ಬಳಕೆದಾರರ ಡೇಟಾದ ಸಮಗ್ರತೆಯ ಬಗ್ಗೆ ಕಾಳಜಿ ವಹಿಸುತ್ತದೆ, ತನ್ನ ಉತ್ಪನ್ನಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಸರಿಯಾದ ಮಟ್ಟದಲ್ಲಿರಿಸುತ್ತದೆ ಎಂದು ಹೇಳಿಕೆಯನ್ನು ನೀಡಿತು.

ಅಂತಿಮವಾಗಿ ಶ್ರೇಷ್ಠ ಸಾಧನೆ - IDA ಡಿಸ್ಅಸೆಂಬಲರ್ ಮತ್ತು ಹೆಕ್ಸ್ -ರೇಸ್ ಡಿಕಂಪೈಲರ್‌ನ ಲೇಖಕ ಇಲ್ಫಾಕ್ ಗಿಲ್ಫಾನೋವ್‌ಗೆ ಪ್ರಶಸ್ತಿ, ಭದ್ರತಾ ಸಂಶೋಧಕರಿಗೆ ಉಪಕರಣಗಳ ಅಭಿವೃದ್ಧಿಗೆ ಅವರ ಕೊಡುಗೆಗಾಗಿ ಮತ್ತು 30 ವರ್ಷಗಳವರೆಗೆ ಉತ್ಪನ್ನವನ್ನು ನವೀಕೃತವಾಗಿರಿಸುವ ಅವರ ಸಾಮರ್ಥ್ಯಕ್ಕಾಗಿ.

ಮೂಲ: https://pwnies.com


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.