宣布了2021年度Pwnie奖的获奖者, 这是一个重要事件,参与者可以揭示计算机安全领域中最严重的漏洞和荒谬的缺陷。
普尼奖 他们认识到信息安全领域的卓越和无能。 安全行业专业委员会根据从信息安全社区收集的提名来选择获奖者。
获奖名单
更好的提权漏洞: 这个奖 授予 Qualys 公司以识别 sudo 实用程序中的漏洞 CVE-2021-3156,它允许您获得 root 权限。 该漏洞已存在于代码中大约 10 年,值得注意的是它的检测需要对实用程序的逻辑进行彻底分析。
最佳服务器错误: 这是 因识别和利用技术上最复杂的错误而获奖 和有趣的网络服务。 因识别而获得胜利 针对 Microsoft Exchange 的新攻击媒介. 此类中所有漏洞的信息尚未发布,但有关漏洞 CVE-2021-26855 (ProxyLogon) 的信息已经披露,该漏洞允许您无需身份验证即可从任意用户处检索数据,以及 CVE-2021-27065,它允许您在具有管理员权限的服务器上运行您的代码。
最佳加密攻击: 被授予 用于识别系统中最重要的故障、协议和真正的加密算法。 奖品 f已针对该漏洞 (CVE-2020-0601) 向 Microsoft 发布 在椭圆曲线数字签名的实现中,允许基于公钥生成私钥。 该问题允许为 HTTPS 和虚假数字签名创建伪造的 TLS 证书,Windows 验证这些证书是可信的。
最具创新性的研究: 奖项 授予提出 BlindSide 方法的研究人员 使用处理器推测性执行指令导致的旁道泄漏来避免地址随机化 (ASLR) 的安全性。
大多数 Epic FAIL 错误: 因多次发布无效补丁而授予 Microsoft 针对 Windows 打印输出系统中允许您的代码运行的 PrintNightmare 漏洞 (CVE-2021-34527)。 微软 最初将问题标记为本地问题,但后来证明攻击可以远程进行。 微软随后发布了四次更新,但每次解决方案只涵盖一个特例,研究人员找到了一种新的攻击方式。
客户端软件中的最佳错误: 那个奖是 授予在三星安全密码学中发现 CVE-2020-28341 漏洞的研究人员, 获得CC EAL 5+安全证书。 该漏洞可以完全绕过保护并访问芯片上运行的代码和飞地中存储的数据,绕过屏幕保护锁,还可以对固件进行更改以创建隐藏的后门。
最被低估的漏洞: 这个奖是 授予 Qualys 以识别 Exim 邮件服务器中的许多 21Nails 漏洞, 其中 10 个可以远程利用。 Exim 开发人员对利用这些问题持怀疑态度,并花了 6 个多月的时间开发解决方案。
制造商最弱的回答: 这是提名 对您自己产品中的漏洞报告的最不恰当的回应. 获胜者是 Cellebrite,这是一种用于执法的取证和数据挖掘应用程序。 Cellebrite 没有对 Signal 协议的作者 Moxie Marlinspike 发布的漏洞报告做出充分响应。 Moxie 在发布了一篇关于创建一种技术来破解加密信号消息的媒体故事后,对 Cellebrite 产生了兴趣,后来证明这是错误的,因为对 Cellebrite 网站上文章中的信息的误解。 “攻击”需要对手机进行物理访问和解锁屏幕的能力,也就是说,它被简化为在信使中查看消息,但不是手动,而是使用模拟用户操作的特殊应用程序)。
Moxie 检查了 Cellebrite 应用程序,发现了在尝试扫描特制数据时允许执行任意代码的关键漏洞。 Cellebrite 应用程序还透露了一个事实,它使用了一个过时的 ffmpeg 库,该库已经 9 年没有更新,并且包含大量未修补的漏洞。 Cellebrite 并没有承认问题并修复它们,而是发表了一份声明,表示它关心用户数据的完整性,将其产品的安全性保持在适当的水平。
最后 最伟大的成就 - 授予 IDA 反汇编程序和 Hex-Rays 反编译程序的作者 Ilfak Gilfanov,以表彰他为安全研究人员开发工具的贡献以及他 30 年来保持产品最新的能力。
数据来源: https://pwnies.com