Ang mga nagwagi sa taunang Pwnie Awards 2020 ay inihayag, na kung saan ay isang kilalang kaganapan, kung saan ibinunyag ng mga kalahok ang pinaka makabuluhang kahinaan at walang katotohanan na mga bahid sa larangan ng seguridad ng computer.
Ang Pwnie Awards kinikilala nila ang parehong kahusayan at kawalan ng kakayahan sa larangan ng seguridad ng impormasyon. Ang mga nanalo ay pinili ng isang komite ng mga propesyonal sa industriya ng seguridad mula sa mga nominasyon na natipon mula sa komunidad ng seguridad ng impormasyon.
Ang mga parangal ay ipinakita taun-taon sa Black Hat Security Conference. Ang Pwnie Awards ay itinuturing na isang katapat ng Oscars at Golden Raspberry Awards sa seguridad ng computer.
Nangungunang mga nagwagi
Pinakamahusay na error sa server
Iginawad para sa pagkilala at pagsasamantala sa pinaka-teknikal na bug at kawili-wili sa isang serbisyo sa network. Ang tagumpay ay iginawad sa pamamagitan ng pagkilala sa kahinaan CVE-2020-10188, na nagpapahintulot sa mga remote na pag-atake sa mga aparato na naka-embed sa firmware batay sa Fedora 31 sa pamamagitan ng isang buffer overflow sa telnetd.
Pinakamahusay na bug sa software ng client
Ang mga nagwagi ay mga mananaliksik na kinilala ang isang kahinaan sa Android firmware ng Samsung, na nagbibigay-daan sa pag-access sa aparato sa pamamagitan ng pagpapadala ng MMS nang walang input ng gumagamit.
Mas mahusay na kahinaan ng pagdaragdag
Ang tagumpay ay iginawad para sa pagkilala ng isang kahinaan sa bootrom ng Apple iPhone, iPads, Apple Watches at Apple TV Batay sa A5, A6, A7, A8, A9, A10 at A11 chips, na nagbibigay-daan sa iyo upang maiwasan ang firmware jailbreak at ayusin ang pag-load ng iba pang mga operating system.
Pinakamahusay na pag-atake ng crypto
Ginawaran para sa pagkilala ng pinaka makabuluhang kahinaan sa totoong mga system, protokol, at mga algorithm na naka-encrypt. Ang gantimpala ay ibinigay para sa pagkilala sa kahinaan ng Zerologon (CVE-2020-1472) sa MS-NRPC protocol at ang AES-CFB8 crypto algorithm, na nagpapahintulot sa isang manasalakay na makakuha ng mga karapatan ng administrator sa isang Windows o Samba domain controller.
Pinaka makabagong pananaliksik
Ang gantimpala ay ibinibigay sa mga mananaliksik na ipinakita na ang pag-atake ng RowHammer ay maaaring magamit laban sa mga modernong chips ng memorya ng DDR4 upang baguhin ang nilalaman ng mga indibidwal na piraso ng pabagu-bago ng random memory memory (DRAM).
Ang pinakamahina na tugon ng gumawa (Lamest Vendor Response)
Hinirang para sa Karamihan sa Hindi Naaangkop na Tugon sa isang Ulat sa Kahinaan sa Iyong Sariling Produkto. Ang nagwagi ay ang gawa-gawa na si Daniel J. Bernstein, na 15 taon na ang nakakalipas ay hindi isinasaalang-alang itong seryoso at hindi nalutas ang kahinaan (CVE-2005-1513) sa qmail, dahil ang pagsasamantala nito ay nangangailangan ng isang 64-bit na system na may higit sa 4GB ng virtual memory .
Sa loob ng 15 taon, ang mga 64-bit na system sa mga server ay humalili sa mga 32-bit na system, ang dami ng ibinigay na memorya ay tumaas nang kapansin-pansing, at bilang isang resulta, nilikha ang isang functional exploit na maaaring magamit upang atakein ang mga system na may qmail sa mga default na setting.
Karamihan sa minamaliit na kahinaan
Ang gantimpala ay ibinigay para sa mga kahinaan (CVE-2019-0151, CVE-2019-0152) sa mekanismo ng Intel VTd / IOMMU, pinapayagan ang pag-bypass ng proteksyon ng memorya at pagpapatupad ng code sa mga antas ng System Management Mode (SMM) at mga antas ng Trusted Exemption Technology (TXT), halimbawa, para sa pagpapalit ng rootkit sa SMM. Ang kalubhaan ng problema ay naging mas malaki kaysa sa inaasahan, at ang kahinaan ay hindi madaling maayos.
Karamihan sa mga Epic FAIL error
Ang gantimpala ay ibinigay sa Microsoft para sa kahinaan (CVE-2020-0601) sa pagpapatupad ng mga elliptic curve digital na lagda na nagpapahintulot sa pagbuo ng mga pribadong key batay sa mga pampublikong key. Pinayagan ng isyu ang paglikha ng mga huwad na sertipiko ng TLS para sa HTTPS at huwad na mga digital na lagda na napatunayan ng Windows bilang mapagkakatiwalaan.
Pinakamalaking tagumpay
Ang gantimpala ay iginawad para sa pagkilala ng isang serye ng mga kahinaan (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) na nagpapahintulot sa pag-bypass sa lahat ng mga antas ng proteksyon ng browser ng Chromé at pagpapatupad ng code sa system sa labas ng kapaligiran ng sandbox . Ginamit ang mga kahinaan upang maipakita ang isang malayong pag-atake sa mga Android device upang makakuha ng root access.
Panghuli, kung nais mong malaman ang tungkol sa mga nominado, maaari mong suriin ang mga detalye Sa sumusunod na link.