Эдгээр нь 2020 оны Pwnie Awards-ийн ялагчид юм

Жил бүр уламжлал болгон зохион байгуулдаг Pwnie Awards 2020 шагналын эзэд тодорлоо, Энэ бол оролцогчид компьютерийн аюулгүй байдлын салбар дахь хамгийн чухал эмзэг байдал, утгагүй алдаануудыг илчилдэг томоохон арга хэмжээ юм.

Pwnie Awards мэдээллийн аюулгүй байдлын салбар дахь чадвар, чадваргүй байдлыг хоёуланг нь хүлээн зөвшөөрөх. Ялагчдыг мэдээллийн аюулгүй байдлын нийгэмлэгээс цуглуулсан номинацид үндэслэн аюулгүй байдлын салбарын мэргэжлийн зөвлөлөөс тодруулдаг.

Жил бүр Black Hat аюулгүй байдлын хурлын үеэр шагнал гардуулдаг. Pwnie Awards нь компьютерын аюулгүй байдлын чиглэлээр Оскар, Алтан бөөрөлзгөнө шагнал гардуулах ёслолын түнш гэж тооцогддог.

Шилдэг ялагчид

Хамгийн сайн серверийн алдаа

Техникийн хувьд хамгийн төвөгтэй алдааг илрүүлж, ашигласны төлөө шагнасан мөн сүлжээний үйлчилгээнд сонирхолтой. Энэ ялалтыг telnetd-д буфер хальж Fedora 2020 дээр суурилсан firmware суулгасан төхөөрөмжүүд рүү алсын дайралт хийх боломжийг олгодог CVE-10188-31 эмзэг байдлыг тодорхойлж өгсөн.

Үйлчлүүлэгчийн програм хангамжийн хамгийн сайн алдаа

Ялагчид нь Samsung-ийн Андройд програмын сул талыг олж тогтоосон бөгөөд хэрэглэгчид MMS илгээх замаар төхөөрөмжид нэвтрэх боломжийг олгодог.

Илүүдэл өртөмтгий байдал

Ялалт Apple iPhone, iPad, Apple Watches, Apple TV-ийн bootrom-ийн сул талыг олж тогтоосныхоо төлөө шагналаа A5, A6, A7, A8, A9, A10, A11 чипүүд дээр үндэслэн програмын jailbreak хийхээс зайлсхийх, бусад үйлдлийн системийн ачааллыг цэгцлэх боломжийг танд олгоно.

Шилдэг крипто халдлага

Бодит систем, протокол, шифрлэлтийн алгоритм дахь хамгийн чухал эмзэг байдлыг олж тогтоосны төлөө шагнал гардуулсан. Энэхүү шагналыг MS-NRPC протокол болон AES-CFB2020 крипто алгоритм дахь Zerologon эмзэг байдлыг (CVE-1472-8) тодорхойлоход олгосон бөгөөд энэ нь халдагч Windows эсвэл Samba домайн хянагч дээр администраторын эрх олж авах боломжийг олгодог.

Хамгийн шинэлэг судалгаа

Энэхүү шагналыг орчин үеийн DDR4 санах ойн чипүүдийн эсрэг RowHammer халдлагыг ашиглаж, динамик санамсаргүй хандалтын санах ойн битийн агуулгыг өөрчлөх боломжтойг харуулсан судлаачдад олгодог.

Үйлдвэрлэгчийн хамгийн сул хариу арга хэмжээ

Өөрийн бүтээгдэхүүн дэх эмзэг байдлын тайлангийн талаархи хамгийн зохисгүй хариуг нэр дэвшүүлсэн. Ялагч нь 15 жилийн өмнө үүнийг ноцтой гэж үзээгүй бөгөөд qmail-ийн эмзэг байдлыг (CVE-2005-1513) шийдээгүй байсан домогт Даниел Ж.Бернштейн юм, учир нь үүнийг ашиглахад 64GB-аас дээш виртуал бүхий 4 битийн систем шаардлагатай байв. санах ой

15 жилийн турш серверүүд дээр 64-бит системүүд 32-битийн системийг орлож, санах ойн хэмжээ эрс нэмэгдсэн бөгөөд үүний үр дүнд анхдагч тохиргоонд qmail бүхий системүүд рүү дайрахад ашиглаж болох функциональ мөлжлөг бий болсон.

Ихэнх эмзэг байдлыг дутуу үнэлдэг

Шагналыг эмзэг байдлын хувьд олгов (CVE-2019-0151, CVE-2019-0152) Intel VTd / IOMMU механизм дээр, санах ойн хамгаалалтыг тойрч гарах, системийн менежментийн горим (SMM) болон Trusted Execution Technology (TXT) түвшинд кодыг ажиллуулах, жишээлбэл SMM-д rootkit орлуулах боломжийг олгох. Асуудлын ноцтой байдал нь урьдчилан таамаглаж байснаас хамаагүй их байсан бөгөөд эмзэг байдлыг арилгах нь тийм ч хялбар биш байв.

Ихэнх Epic FAIL алдаа

Энэхүү шагналыг олон нийтийн түлхүүр дээр үндэслэн хувийн түлхүүр үүсгэх боломжийг олгодог эллиптик муруй дижитал гарын үсгийг хэрэгжүүлэх явцад эмзэг байдлын төлөө (CVE-2020-0601) Майкрософт компанид олгов. Асуудал нь HTTPS-д хуурамч TLS гэрчилгээ, хуурамч дижитал гарын үсгийг Windows-ийн найдвартай гэж баталгаажуулсан үүсгэх боломжийг олгосон.

Хамгийн том амжилт

Энэхүү шагналыг Chromé браузерын хамгаалалтын бүх түвшинг тойрч гарах, хамгаалагдсан хязгаарлагдмал орчиноос гадуур систем дээрх кодыг гүйцэтгэх боломжийг олгодог цуврал эмзэг байдлыг (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) тодорхойлсны дараа олгов. хүрээлэн буй орчин. Эмзэг байдлыг үндэс хандалтыг олж авахын тулд Андройд төхөөрөмжүүд рүү алсаас довтолж байгааг харуулахад ашигласан болно.

Эцэст нь, хэрэв та нэр дэвшсэн хүмүүсийн талаар илүү ихийг мэдэхийг хүсвэл дэлгэрэнгүйг шалгаж болно Дараах холбоос дээр.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.