宣布了2020年度Pwnie奖的获奖者, 这是一个重要事件,参与者可以揭示计算机安全领域中最严重的漏洞和荒谬的缺陷。
普尼奖 他们认识到信息安全领域的卓越和无能。 安全行业专业委员会根据从信息安全社区收集的提名来选择获奖者。
每年在Black Hat Security Conference上颁发奖项。 Pwnie奖被认为是计算机安全方面的奥斯卡奖和金树莓奖的对等产品。
最佳获奖者
最佳服务器错误
因识别和利用技术上最复杂的错误而获奖 和有趣的网络服务。 此次胜利是由识别漏洞CVE-2020-10188所授予的,该漏洞允许通过telnetd中的缓冲区溢出对嵌入有基于Fedora 31固件的设备进行远程攻击。
客户端软件中的最佳错误
获奖者是研究人员,他们发现了三星Android固件中的漏洞,该漏洞无需用户输入即可通过发送MMS来访问设备。
更好的升级漏洞
胜利 因识别Apple iPhone,iPad,Apple Watch和Apple TV的引导漏洞而获奖 基于A5,A6,A7,A8,A9,A10和A11芯片,您可以避免固件越狱并组织其他操作系统的负载。
最佳加密攻击
因识别实际系统,协议和加密算法中最重要的漏洞而获奖。 该奖项旨在表彰MS-NRPC协议中的Zerologon漏洞(CVE-2020-1472)和AES-CFB8加密算法,该漏洞使攻击者可以获得Windows或Samba域控制器上的管理员权限。
最具创新性的研究
该奖项授予研究人员,他们证明可以对现代DDR4存储器芯片使用RowHammer攻击来更改动态随机存取存储器(DRAM)各个位的内容。
制造商的最弱响应(Lamest Vendor Response)
被提名为对您自己产品中的漏洞报告最不适当的回复。 胜利者是神话人物Daniel J. Bernstein,他在15年前并不认为它很严重,也没有解决qmail中的漏洞(CVE-2005-1513),因为要利用此漏洞需要64位系统和超过4GB的虚拟机。记忆。
在15年的时间里,服务器上的64位系统取代了32位系统,所提供的内存量急剧增加,结果,创建了一种功能利用程序,可以利用默认设置下的qmail攻击系统。
最被低估的漏洞
该奖项是针对漏洞而颁发的(CVE-2019-0151,CVE-2019-0152) 在英特尔VTd / IOMMU机制上, 这使您可以绕过内存保护,并在系统管理模式(SMM)和受信任的执行技术(TXT)级别上运行代码,例如,替换SMM中的rootkit。 事实证明,该问题的严重性大大超出了预期,并且漏洞不那么容易修复。
大多数Epic FAIL错误
该奖项授予Microsoft椭圆曲线数字签名实施中的漏洞(CVE-2020-0601),该漏洞允许基于公共密钥生成私钥。 该问题允许为HTTPS创建伪造的TLS证书以及Windows验证为可信任的伪造数字签名。
最大的成就
该奖项旨在表彰一系列漏洞(CVE-2019-5870,CVE-2019-5877,CVE-2019-10567),这些漏洞可绕过Chromé浏览器的所有保护级别并在沙箱外部的系统上执行代码环境该漏洞用于演示对Android设备进行远程攻击以获得root访问权限。
最后,如果您想进一步了解被提名人,可以查看详细信息 在下面的链接中。