Dette er vinnerne av Pwnie Awards 2020

Vinnerne av den årlige Pwnie Awards 2020 ble kunngjort, som er en fremtredende begivenhet, der deltakerne avslører de viktigste sårbarhetene og absurde feilene innen datasikkerhet.

Pwnie Awards de anerkjenner både fortreffelighet og inkompetanse innen informasjonssikkerhet. Vinnerne velges av en komité av fagpersoner i sikkerhetsbransjen fra nominasjoner samlet fra informasjonssikkerhetsmiljøet.

Prisene deles ut årlig på Black Hat Security Conference. Pwnie Awards blir sett på som et motstykke til Oscar og Golden Raspberry Awards innen datasikkerhet.

Toppvinnere

Beste serverfeil

Tildelt for å identifisere og utnytte den mest teknisk komplekse feilen og interessant i en nettverkstjeneste. Seieren ble tildelt ved å identifisere sårbarheten CVE-2020-10188, som tillater fjernangrep på enheter innebygd med firmware basert på Fedora 31 gjennom et bufferoverløp i telnetd.

Beste feil i klientprogramvare

Vinnerne var forskere som identifiserte et sikkerhetsproblem i Samsungs Android-firmware, som gir tilgang til enheten ved å sende MMS uten brukerinngang.

Bedre opptrappingssårbarhet

Seieren ble tildelt for å identifisere et sårbarhet i bagasjerommet til Apple iPhones, iPads, Apple Watches og Apple TV Basert på A5, A6, A7, A8, A9, A10 og A11 chips, slik at du kan unngå jailbreak av firmware og organisere belastningen på andre operativsystemer.

Beste kryptoangrep

Tildelt for å identifisere de viktigste sårbarhetene i ekte systemer, protokoller og krypteringsalgoritmer. Prisen ble gitt for å identifisere Zerologon-sårbarheten (CVE-2020-1472) i MS-NRPC-protokollen og AES-CFB8-kryptalgoritmen, som gjør det mulig for en angriper å få administratorrettigheter på en Windows- eller Samba-domenekontroller.

Mest innovative forskning

Prisen blir gitt til forskere som har vist at RowHammer-angrep kan brukes mot moderne DDR4-minnebrikker for å endre innholdet i individuelle biter av DRAM (Dynamic Random Access Memory).

Produsentens svakeste respons (Lamest Vendor Response)

Nominert for mest upassende svar på en sårbarhetsrapport i ditt eget produkt. Vinneren er den mytiske Daniel J. Bernstein, som for 15 år siden ikke anså det som alvorlig og ikke løste sårbarheten (CVE-2005-1513) i qmail, siden utnyttelsen av dette krevde et 64-biters system med mer enn 4 GB virtuelt minne .

I 15 år erstattet 64-bits systemer på servere 32-bits systemer, mengden levert minne økte dramatisk, og som et resultat ble det opprettet en funksjonell utnyttelse som kunne brukes til å angripe systemer med qmail i standardinnstillingene.

Mest undervurderte sårbarhet

Prisen ble gitt for sårbarheter (CVE-2019-0151, CVE-2019-0152) på Intel VTd / IOMMU-mekanismen, tillater omgåelse av minnebeskyttelse og kjøring av kode på systemadministrasjonsmodus (SMM) og Trusted Execution Technology (TXT) nivåer, for eksempel for erstatning av rootkit i SMM. Problemets alvorlighetsgrad viste seg å være betydelig større enn forventet, og sårbarheten var ikke like lett å fikse.

De fleste Epic FAIL-feil

Prisen ble gitt til Microsoft for sårbarhet (CVE-2020-0601) i implementeringen av elliptiske kurve digitale signaturer som tillater generering av private nøkler basert på offentlige nøkler. Problemet tillot oppretting av forfalskede TLS-sertifikater for HTTPS og forfalskede digitale signaturer som Windows bekreftet som pålitelige.

Største prestasjon

Prisen ble tildelt for å identifisere en rekke sårbarheter (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) som gjør det mulig å omgå alle nivåer av beskyttelse av Chromé-nettleseren og utføre kode på systemet utenfor sandkassemiljøet . Sårbarhetene ble brukt til å demonstrere et eksternt angrep på Android-enheter for å få root-tilgang.

Til slutt, hvis du vil vite mer om de nominerte, kan du sjekke detaljene I den følgende lenken.


Bli den første til å kommentere

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.