Dëst sinn d'Gewënner vun den 2020 Pwnie Awards

D'Gewënner vun den alljährlechen Pwnie Awards 2020 goufen ugekënnegt, wat en aussergewéinlecht Event ass, bei deem d'Participanten déi bedeitendst Schwachstelle an absurd Feeler am Beräich vun der Computersécherheet verroden.

D'Pwnie Awards si erkennen d'Exzellenz an d'Inkompetenz am Beräich vun der Informatiounssécherheet. D'Gewënner gi vun engem Comité aus Sécherheetsindustrie Professionnel ausgewielt baséiert op Nominatiounen aus der Informatiounssécherheetsgemeinschaft gesammelt.

Auszeechnunge gi jäerlech op der Black Hat Security Conference ausgezeechent. D'Pwnie Awards ginn als Pendant zu den Oscaren a Golden Raspberry Awards a Computersécherheet ugesinn.

Top Gewënner

Beschte Serverfehler

Ausgezeechent fir den technesch komplexste Käfer z'identifizéieren an auszenotzen an interessant an engem Netzwierkservice. De Gewënn gouf ausgezeechent duerch d'Identifikatioun vun der Schwachstelle CVE-2020-10188, déi Erfindungenattacke fir Geräter agebonne mat Firmware op Basis vu Fedora 31 duerch e Puffer Iwwerlaf an Telnetd erlaabt.

Beschte Feeler am Client Software

D'Gewënner ware Fuerscher déi eng Schwachstelle an der Android Android Firmware identifizéiert hunn, déi den Zougang zum Apparat erlaabt andeems MMS ouni Userinput geschéckt gëtt.

Besser Eskalatioun Schwachstelle

De Sieg gouf ausgezeechent fir eng Schwachstelle am Bootrom vun Apple iPhones, iPads, Apple Watches an Apple TV z'identifizéieren Baséiert op A5, A6, A7, A8, A9, A10 an A11 Chips, sou datt Dir Firmware-Jailbreak vermeit an d'Belaaschtung vun anere Betribssystemer organiséiert.

Bescht Krypto Attack

Ausgezeechent fir déi bedeitendst Schwachstelle bei richtege Systemer, Protokoller a Verschlësselungsalgorithmen z'identifizéieren. De Präis gouf fir d'Identifikatioun vun der Zerologon Schwachstelle (CVE-2020-1472) am MS-NRPC Protokoll an dem AES-CFB8 Krypto Algorithmus ausgezeechent, wat et engem Ugräifer erlaabt Administratorrechter op engem Windows oder Samba Domain Controller ze kréien.

Déi meescht innovativ Fuerschung

De Präis gëtt u Fuerscher déi gewisen hunn datt RowHammer Attacke kënne benotzt gi géint modern DDR4 Memory Chips fir den Inhalt vun eenzelne Bits vum dynamesche random access memory (DRAM) z'änneren.

Déi schwaachst Äntwert vum Fabrikant (Lamest Vendor Response)

Nominéiert fir déi meescht onpassend Äntwert op e Schwachbarheetsbericht an Ärem eegene Produkt. De Gewënner ass de mytheschen Daniel J. Bernstein, dee viru 15 Joer et net als seriös ugesinn huet an d'Schwachstelle (CVE-2005-1513) a qmail net geléist huet, well seng Ausbeutung e 64-Bit System mat méi wéi 4 GB virtuellt Erënnerung erfuerdert. .

Fir 15 Joer hunn 64-Bit Systemer op Serveren 32-Bit Systemer verdrängt, d'Quantitéit vum geliwerte Gedächtnis huet dramatesch geklomm, an als Resultat gouf e funktionellen Exploit erstallt deen benotzt ka gi fir Systemer mat qmail an de Standardastellungen unzegräifen.

Déi meescht ënnerschätzt Schwachstelle

De Präis gouf fir Schwachlëchkeet kritt (CVE-2019-0151, CVE-2019-0152) um Intel VTd / IOMMU Mechanismus, Dëst erlaabt Iech de Gedächtnisschutz z'ëmgoen an de Code um System Management Mode (SMM) an der Trusted Execution Technology (TXT) Niveauen ze lafen, zum Beispill fir Rootkits am SMM ze ersetzen. D'Schwéierkraaft vum Problem ass wesentlech méi grouss wéi virgesinn, an d'Schwachstelle war net sou einfach ze fixéieren.

Déi meescht Epic FAIL Feeler

De Präis gouf u Microsoft fir Schwachstelle (CVE-2020-0601) bei der Ëmsetzung vun elliptesche Curve Digital Ënnerschrëften ausgezeechent déi d'Generatioun vu private Schlësselen op Basis vun ëffentleche Schlësselen erlaabt. D'Emissioun erlaabt d'Schafe vu gefälschten TLS Zertifikaten fir HTTPS a gefälschte digital Ënnerschrëften, déi Windows als vertrauenswierdeg verifizéiert huet.

Gréissten Leeschtung

De Präis gouf ausgezeechent fir eng Serie vu Schwachlëchkeet z'identifizéieren (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) déi et erméiglechen all Niveau vum Schutz vum Chromé Browser z'ëmgoen an de Code um System ausserhalb vun der Sandkëscht auszeféieren. Ëmfeld. D'Schwachstelle goufen benotzt fir e Fernattack op Android Apparater ze demonstréieren fir root Zougang ze kréien.

Schlussendlech, wann Dir méi iwwer d'Nominéierter wësse wëllt, kënnt Dir d'Detailer kontrolléieren An de folgende Link.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.