宣布了2020年年度Pwnie獎的獲獎者, 這是一項傑出的活動,參與者可以揭示計算機安全領域中最嚴重的漏洞和荒謬的缺陷。
普尼獎 他們認識到信息安全領域的卓越和無能。 安全行業專家委員會從信息安全社區收集的提名中選出獲獎者。
每年在Black Hat Security Conference上頒發獎項。 Pwnie獎被認為是計算機安全方面的奧斯卡獎和金樹莓獎的對等產品。
最佳獲獎者
最佳服務器錯誤
因識別和利用技術上最複雜的錯誤而獲獎 和有趣的網絡服務。 此次勝利是由識別漏洞CVE-2020-10188所授予的,該漏洞允許通過telnetd中的緩衝區溢出對嵌入基於Fedora 31固件的設備進行遠程攻擊。
客戶端軟件中的最佳錯誤
獲獎者是研究人員,他們發現了三星Android固件中的漏洞,該漏洞無需用戶輸入即可通過發送MMS來訪問設備。
更好的升級漏洞
勝利 因識別Apple iPhone,iPad,Apple Watch和Apple TV的引導漏洞而獲獎 基於A5,A6,A7,A8,A9,A10和A11芯片,使您可以避免固件越獄並組織其他操作系統的負載。
最佳加密貨幣攻擊
因識別實際系統,協議和加密算法中最重要的漏洞而獲獎。 該獎項旨在表彰MS-NRPC協議中的Zerologon漏洞(CVE-2020-1472)和AES-CFB8加密算法,該漏洞使攻擊者可以獲得Windows或Samba域控制器上的管理員權限。
最具創新性的研究
該獎項授予研究人員,他們證明可以對現代DDR4存儲器芯片使用RowHammer攻擊來更改動態隨機存取存儲器(DRAM)各個位的內容。
製造商的最弱響應(Lamest Vendor Response)
被提名為對您自己產品中的漏洞報告最不適當的回复。 勝利者是神話人物Daniel J. Bernstein,他在15年前並不認為它很嚴重,也沒有解決qmail中的漏洞(CVE-2005-1513),因為要利用此漏洞需要64位系統和超過4GB的虛擬機。記憶。
在15年的時間裡,服務器上的64位系統取代了32位系統,所提供的內存量急劇增加,結果,創建了一種功能利用程序,可用於在默認設置下使用qmail攻擊系統。
最被低估的漏洞
該獎項是針對漏洞而頒發的(CVE-2019-0151,CVE-2019-0152) 在英特爾VTd / IOMMU機制上, 允許繞過內存保護並在系統管理模式(SMM)和受信任的執行技術(TXT)級別執行代碼,例如,在SMM中替換rootkit。 事實證明,該問題的嚴重性比預期的要大得多,並且該漏洞也不容易修復。
大多數Epic FAIL錯誤
該獎項授予Microsoft橢圓曲線數字簽名的實現中的漏洞(CVE-2020-0601),該漏洞允許基於公鑰生成私鑰。 該問題允許創建HTTPS的偽造TLS證書和Windows驗證為可信任的偽造數字簽名。
最大的成就
該獎項旨在表彰一系列漏洞(CVE-2019-5870,CVE-2019-5877,CVE-2019-10567),這些漏洞可繞過Chromé瀏覽器的所有保護級別並在沙箱外部的系統上執行代碼環境。 該漏洞用於演示對Android設備進行遠程攻擊以獲得root訪問權限。
最後,如果您想進一步了解被提名人,可以查看詳細信息 在下面的鏈接中。