Bular 2020 yilgi Pwnie mukofotlari sovrindorlari

Har yili o'tkaziladigan Pwnie Awards 2020 mukofotlari e'lon qilindi, bu taniqli tadbir bo'lib, unda ishtirokchilar kompyuter xavfsizligi sohasidagi eng muhim zaifliklar va bema'ni kamchiliklarni ochib berishadi.

Pwnie mukofotlari ular axborot xavfsizligi sohasida ham mukammallikni, ham qobiliyatsizlikni tan olishadi. G'oliblar xavfsizlik sohasi mutaxassislari qo'mitasi tomonidan axborot xavfsizligi jamoatchiligi tomonidan to'plangan nominatsiyalardan aniqlanadi.

Mukofotlar har yili Black Hat xavfsizlik konferentsiyasida taqdim etiladi. Pwnie Awards mukofotlari Oscar va Golden Raspberry mukofotlariga kompyuter xavfsizligi bo'yicha hamkasbi sifatida qaraladi.

Eng yaxshi g'oliblar

Eng yaxshi server xatosi

Texnik jihatdan eng murakkab xatoni aniqlash va ulardan foydalanish uchun mukofotlangan va tarmoq xizmatida qiziqarli. G'alaba telnetd-da bufer to'lib toshishi orqali Fedora 2020 asosida o'rnatilgan dasturiy ta'minot o'rnatilgan qurilmalarga masofadan hujum qilish imkonini beradigan CVE-10188-31 zaifligini aniqlash orqali berildi.

Mijoz dasturidagi eng yaxshi xato

G'oliblar Samsung-ning Android proshivkasidagi zaiflikni aniqlagan tadqiqotchilar bo'lib, ular foydalanuvchini kiritmasdan MMS yuborish orqali qurilmaga kirish imkoniyatini beradi.

Eskalatsiyaning zaifligi

G'alaba Apple iPhone, iPad, Apple Watches va Apple TV bootromidagi zaiflikni aniqlash uchun mukofotlandi A5, A6, A7, A8, A9, A10 va A11 chiplariga asoslanib, sizga proshivka jailbreak-dan saqlanish va boshqa operatsion tizimlarning yukini tartibga solish imkonini beradi.

Eng yaxshi kripto hujumi

Haqiqiy tizimlarda, protokollarda va shifrlash algoritmlarida eng muhim zaifliklarni aniqlash uchun mukofotlangan. Ushbu mukofot MS-NRPC protokolidagi Zerologon zaifligini (CVE-2020-1472) va tajovuzkorga Windows yoki Samba domen tekshiruvchisida administrator huquqlarini olishga imkon beruvchi AES-CFB8 kripto algoritmini aniqlash uchun berilgan.

Eng innovatsion tadqiqotlar

Mukofot RowHammer hujumlaridan zamonaviy DDR4 xotira mikrosxemalariga qarshi ishlatilishi mumkinligini ko'rsatdi, ular dinamik tasodifiy xotira (DRAM) ning individual bitlarining tarkibini o'zgartirishi mumkin.

Ishlab chiqaruvchining eng zaif javobi (Lamest Vendor Response)

O'zingizning mahsulotingizdagi zaiflik to'g'risidagi hisobotga eng noo'rin javob uchun nomzod. G'olib afsonaviy Daniel J. Bernshteyn, u bundan 15 yil oldin uni jiddiy deb hisoblamagan va qmail-da zaiflikni (CVE-2005-1513) hal qilmagan, chunki uning ekspluatatsiyasi uchun 64 Gb dan ortiq virtualga ega 4 bitli tizim kerak edi. xotira.

15 yil davomida serverlardagi 64-bitli tizimlar 32-bitli tizimlarni siqib chiqardi, ta'minlangan xotira hajmi keskin oshdi va natijada qmail bilan tizimlarga standart sozlamalarda hujum qilish uchun ishlatilishi mumkin bo'lgan funktsional ekspluatatsiya yaratildi.

Ko'pchilik zaiflik

Mukofot zaif tomonlari uchun berildi (CVE-2019-0151, CVE-2019-0152) Intel VTd / IOMMU mexanizmida, xotira himoyasini chetlab o'tishga va tizimni boshqarish rejimida (SMM) va ishonchli ijro texnologiyasida (TXT) kodni bajarishga imkon beradi, masalan, SMM-da rootkitni almashtirish uchun. Muammoning zo'ravonligi kutilganidan sezilarli darajada katta bo'lib chiqdi va zaiflikni tuzatish u qadar oson bo'lmagan.

Ko'plab epik xatolar

Ushbu mukofot Microsoft-ga ochiq kalitlar asosida yopiq kalitlarni yaratishga imkon beradigan elliptik egri raqamli imzolarni amalga oshirishda zaifligi (CVE-2020-0601) uchun berildi. Muammo Windows-ning ishonchli deb tasdiqlagan HTTPS va qalbaki raqamli imzolar uchun soxta TLS sertifikatlarini yaratishga imkon berdi.

Eng katta yutuq

Ushbu mukofot Chromé brauzerining barcha himoya darajalarini chetlab o'tishga va tizimdagi kodni qum maydonidan tashqarida bajarishga imkon beradigan bir qator zaif tomonlarni (CVE-2019-5870, CVE-2019-5877, CVE-2019-10567) aniqlash uchun berilgan. atrof-muhit. Zaifliklar Android-ga root kirish huquqini olish uchun masofaviy hujumni namoyish qilish uchun ishlatilgan.

Va nihoyat, agar siz nomzodlar haqida ko'proq bilmoqchi bo'lsangiz, tafsilotlarni tekshirishingiz mumkin Quyidagi havolada.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.