वार्षिक पौनी पुरस्कार २०२० च्या विजेत्यांची घोषणा केली गेली, जी एक उत्कृष्ट घटना आहे, ज्यात सहभागी संगणक सुरक्षा क्षेत्रातील सर्वात महत्त्वपूर्ण असुरक्षा आणि बिनडोक दोष प्रकट करतात.
पुनी पुरस्कार ते माहिती सुरक्षिततेच्या क्षेत्रातील उत्कृष्टता आणि अक्षमता दोन्ही ओळखतात. माहिती सुरक्षा समुदायाकडून गोळा केलेल्या नामनिर्देशनाच्या आधारावर सुरक्षा उद्योग व्यावसायिकांच्या समितीद्वारे विजेत्यांची निवड केली जाते.
विजेत्यांची यादी
उत्तम विशेषाधिकार वाढण्याची अगतिकता: हा पुरस्कार सुडो युटिलिटीमध्ये असुरक्षितता CVE-2021-3156 ओळखण्यासाठी कंपनी Qualys ला पुरस्कृत, जे आपल्याला रूट विशेषाधिकार प्राप्त करण्यास अनुमती देते. असुरक्षितता सुमारे 10 वर्षांपासून कोडमध्ये उपस्थित आहे आणि या वस्तुस्थितीसाठी उल्लेखनीय आहे की त्याच्या शोधासाठी युटिलिटीच्या तर्कशास्त्राचे संपूर्ण विश्लेषण आवश्यक आहे.
सर्वोत्तम सर्व्हर त्रुटी: हे सर्वात तांत्रिकदृष्ट्या जटिल बग ओळखण्यासाठी आणि त्याचा वापर करण्यासाठी पुरस्कार दिला आणि नेटवर्क सेवेमध्ये मनोरंजक. ओळख पटल्याबद्दल विजय प्रदान करण्यात आला मायक्रोसॉफ्ट एक्सचेंज विरुद्ध हल्ल्यांचा एक नवीन वेक्टर. या वर्गातील सर्व असुरक्षिततेविषयी माहिती जारी केली गेली नाही, परंतु अगतिकता CVE-2021-26855 (ProxyLogon) बद्दल माहिती आधीच जारी केली गेली आहे, जी आपल्याला प्रमाणीकरणाशिवाय अनियंत्रित वापरकर्त्याकडून डेटा पुनर्प्राप्त करण्याची परवानगी देते आणि CVE-2021-27065, जे आपल्याला प्रशासकाच्या अधिकारांसह आपला कोड सर्व्हरवर चालविण्यास अनुमती देते.
सर्वोत्तम क्रिप्टो हल्ला: मंजूर केले होते सिस्टममधील सर्वात महत्त्वपूर्ण अपयश ओळखण्यासाठी, प्रोटोकॉल आणि रिअल एन्क्रिप्शन अल्गोरिदम. बक्षीस चहे मायक्रोसॉफ्टला असुरक्षिततेसाठी सोडण्यात आले (CVE-2020-0601) लंबवर्तुळाकार वक्र डिजिटल स्वाक्षरीच्या अंमलबजावणीमध्ये जे सार्वजनिक कींवर आधारित खाजगी की तयार करण्यास परवानगी देते. या समस्येने HTTPS आणि बनावट डिजिटल स्वाक्षरीसाठी बनावट TLS प्रमाणपत्रे तयार करण्यास परवानगी दिली, जे Windows ने विश्वसनीय असल्याचे सत्यापित केले.
सर्वात नाविन्यपूर्ण संशोधन: पुरस्कार ब्लाइंडसाइड पद्धत प्रस्तावित करणाऱ्या संशोधकांना देण्यात आले randomड्रेस रँडमायझेशनची सुरक्षा टाळण्यासाठी (एएसएलआर) साइड चॅनेल लीक्स वापरून जे प्रोसेसरद्वारे निर्देशांच्या सट्टा अंमलबजावणीमुळे होते.
सर्वाधिक एपिक फेल त्रुटी: काम करत नसलेल्या पॅचच्या एकाधिक रिलीझसाठी मायक्रोसॉफ्टला देण्यात आले विंडोज प्रिंट आउटपुट सिस्टीममध्ये प्रिंटनाइटमेअर असुरक्षिततेसाठी (CVE-2021-34527) जे आपला कोड चालवू देते. मायक्रोसॉफ्ट सुरुवातीला या समस्येला स्थानिक म्हणून ध्वजांकित केले गेले, परंतु नंतर असे दिसून आले की हा हल्ला दूरस्थपणे केला जाऊ शकतो. त्यानंतर मायक्रोसॉफ्टने चार वेळा अद्यतने जारी केली, परंतु प्रत्येक वेळी उपायाने केवळ एक विशेष प्रकरण समाविष्ट केले आणि संशोधकांना हा हल्ला करण्याचा एक नवीन मार्ग सापडला.
क्लायंट सॉफ्टवेअरमधील सर्वोत्कृष्ट बग: तो पुरस्कार होता सॅमसंगच्या सुरक्षित क्रिप्टोग्राफीमध्ये CVE-2020-28341 असुरक्षितता शोधणाऱ्या संशोधकाला बक्षीस, CC EAL 5+ सुरक्षा प्रमाणपत्र मिळाले. असुरक्षिततेमुळे संरक्षणास पूर्णपणे बायपास करणे आणि एन्क्लेव्हमध्ये संचयित केलेल्या चिप आणि डेटावर प्रवेश मिळवणे, स्क्रीन सेव्हर लॉक बायपास करणे आणि लपलेले मागील दरवाजे तयार करण्यासाठी फर्मवेअरमध्ये बदल करणे शक्य झाले.
सर्वात कमी लेखलेली अगतिकता: पुरस्कार होता एक्झिम मेल सर्व्हरमधील 21 नखे असुरक्षा ओळखण्यासाठी क्वालिजला बक्षीस देण्यात आले, त्यापैकी 10 दूरस्थपणे वापरल्या जाऊ शकतात. एक्झिम डेव्हलपर्सना समस्यांचे शोषण करण्याबद्दल शंका होती आणि त्यांनी 6 महिन्यांहून अधिक काळ समाधान विकसित केले.
निर्मात्याकडून सर्वात कमकुवत उत्तर: हे नामांकन आहे आपल्या स्वतःच्या उत्पादनातील असुरक्षितता अहवालाला सर्वात अयोग्य प्रतिसादासाठी. सेलेब्रिट, कायद्याच्या अंमलबजावणीसाठी फॉरेन्सिक आणि डेटा मायनिंग अॅप्लिकेशन विजेता होता. सेलेब्रिटने सिग्नल प्रोटोकॉलचे लेखक मोक्सी मार्लिनस्पाईक यांनी प्रकाशित केलेल्या असुरक्षा अहवालाला पुरेसा प्रतिसाद दिला नाही. एन्क्रिप्टेड सिग्नल संदेश तोडण्यासाठी तंत्रज्ञान तयार करण्याविषयी मीडिया कथा पोस्ट केल्यानंतर मोक्सीला सेलेब्रिटमध्ये रस झाला, जो नंतर सेलब्राइट वेबसाइटवरील लेखातील माहितीच्या चुकीच्या व्याख्येमुळे खोटा ठरला. "अटॅक" साठी फोनवर भौतिक प्रवेश आणि स्क्रीन अनलॉक करण्याची क्षमता आवश्यक आहे, म्हणजेच मेसेंजरमध्ये संदेश पाहणे कमी केले गेले, परंतु व्यक्तिचलितपणे नाही, परंतु वापरकर्त्याच्या कृतींचे अनुकरण करणारे विशेष अनुप्रयोग वापरणे).
मोक्सीने सेलेब्रिट अनुप्रयोगांची तपासणी केली आणि गंभीर भेद्यता आढळली ज्याने विशेषतः तयार केलेला डेटा स्कॅन करण्याचा प्रयत्न करताना अनियंत्रित कोड कार्यान्वित करण्याची परवानगी दिली. सेलेब्राइट अॅपने हे तथ्य देखील उघड केले की ते कालबाह्य ffmpeg लायब्ररी वापरते जे 9 वर्षांपासून अद्यतनित केले गेले नाही आणि त्यात मोठ्या संख्येने न जुळलेल्या असुरक्षा आहेत. समस्या मान्य करण्यापेक्षा आणि त्यांचे निराकरण करण्याऐवजी, सेलेब्रिटने एक निवेदन जारी केले की ते वापरकर्त्याच्या डेटाच्या अखंडतेची काळजी घेते, त्याच्या उत्पादनांची सुरक्षा योग्य पातळीवर ठेवते.
शेवटी सर्वात मोठी उपलब्धी - आयडीए डिस्सेम्बलर आणि हेक्स -रेज डीकंपिलरचे लेखक इल्फक गिलफानोव्ह यांना देण्यात आले., सुरक्षा संशोधकांसाठी साधनांच्या विकासासाठी आणि 30 वर्षांपर्यंत उत्पादन अद्ययावत ठेवण्याच्या त्याच्या क्षमतेसाठी त्याच्या योगदानाबद्दल.
स्त्रोत: https://pwnies.com