1155000美元奖金，Pwn2Own 2022温哥华黑客大赛落幕

资讯作者：看雪学院 2022-05-23 21:12:47 阅读：414

编辑：左右里

Pwn2Own是全世界最著名、奖励最丰厚的黑客大赛之一，由趋势科技零日计划（ZDI）组织举办，每年都会吸引到不少顶尖黑客参与其中。Pwn2Own的攻击目标包括IE、Chrome、Safari、Firefox、Adobe Flash和AdobeReader等。

比赛第一天的所有攻击尝试都取得了成功，参赛者们利用Microsoft Teams、Oracle VirtualBox、Firefox、Windows 11、Ubuntu和Safari的16个漏洞，赢得了共80万美元奖金。

第二天，Synacktiv团队针对特斯拉Model 3信息娱乐系统演示两个漏洞（Double-Free和OOBW）和沙盒逃逸，夺得75000美元。To演示了一个由不当访问控制错误导致的Windows 11零日权限提升漏洞。Windows 11中的另外两个本地权限提升漏洞由STAR Labs团队和Marcin Wiązowski成功演示。

另外，Ubuntu Desktop也遭攻破，Bien Pham和Team TUTELARY使用两个Use After Free漏洞提升了权限，每个漏洞为其赚取了40000美元。

第三天，来自Viettel Cyber Security的nghiadt12演示了通过整数溢出实现的Windows 11权限提升。vinhthp1712和来自REverse Tactics的Bruno Pujos也分别使用Propert Access Control和Use After Free漏洞实现了在Windows 11上的权限提升。

来自STAR Labs的Billy Jheng Bing-Jhong则使用Use AfterFree漏洞成功入侵了一个运行Ubuntu Desktop的系统。

Pwn2Own 2022温哥华黑客大赛以17名参赛者共斩获1155000美元告终，安全研究人员们在比赛期间展示了六个Windows 11漏洞，四次入侵Ubuntu Desktop，并演示了三个Microsoft Teams零日漏洞。此外，他们还报告了Apple Safari、Oracle Virtualbox和Mozilla Firefox中的几个漏洞。

对于在 Pwn2Own 期间演示的安全漏洞，在比赛后会向供应商报告，他们有 90 天的时间来开发和发布所有报告漏洞的安全修复程序，然后趋势科技ZDI会公开披露这些漏洞。

资讯来源：bleepingcomputer

转载请注明出处和本文链接

每日涨知识

证书（certificate）

被认可的个人公钥的副本，用于验证他们的身份。