На соревновании Pwn2Own 2022 продемонстрировано 5 взломов Ubuntu

21.05.2022 11:29

Подведены итоги трёх дней соревнований Pwn2Own 2022, ежегодно проводимых в рамках конференции CanSecWest. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams и Firefox. Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,155,000 долларов США.

На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Одна премия в 40 тысяч долларов была выплачена за демонстрацию локального повышения привилегий в Ubuntu Desktop через эксплуатацию двух проблем, связанных с переполнением буфера и двойным освобождением памяти. Четыре премии, размером 40 тысяч долларов каждая, были выплачены за демонстрацию повышения привилегий через эксплуатацию уязвимостей, связанных с обращением к памяти после её освобождения (Use-After-Free).

В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Другие успешные атаки:

100 тысяч долларов за разработку эксплоита к Firefox, позволившего при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе.
40 тысяч долларов за демонстрацию эксплоита, использующего переполнение буфера в Oracle Virtualbox для выхода из гостевой системы.
50 тысяч долларов за эксплуатацию Apple Safari (переполнение буфера).
450 тысяч долларов за взломы Microsoft Teams (разные команды продемонстрировали три взлома с наградой по 150 тысяч за каждый).
80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию переполнений буфера и повышение своих привилегий в Microsoft Windows 11.
80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию ошибки в коде проверки доступа для повышения своих привилегий в Microsoft Windows 11.
40 тысяч долларов за эксплуатацию целочисленного переполнения для повышения своих привилегий в Microsoft Windows 11.
40 тысяч долларов за эксплуатацию уязвимости, связанной с обращением к памяти после её освобождения (Use-After-Free), в Microsoft Windows 11.
75 тысяч долларов за демонстрацию атаки на информационно-развлекательную систему автомобиля Tesla Model 3. В эксплоите использовались ошибки, приводящие к переполнению буфера и двойному освобождению памяти, вместе с ранее известной техникой обхода sandbox-изоляции.

Три попытки взлома не увенчались успехом: Microsoft Windows 11 (6 успешных взломов и 1 неудачный), Tesla (1 успешный взлом и 1 неудачный) и Microsoft Teams (3 успешных взлома и 1 неудачный). Заявок на демонстрацию эксплоитов в Google Chrome в этом году не было.

исправить +30 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57228-pwn2own

Ключевые слова: pwn2own

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (89)

1.1, user90 (?), 11:37, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
> общий призовой фонд насчитывал $1,155,000 Аа, уровень местечковой тусовки ;)

2.3, Аноним (3), 11:41, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+33 +/–
вообще, невольно прихожу к выводу, что современный IT это адская помойка из нагромождений костылей (как аппаратных, так и технических), с которыми работают охренеть насколько переплаченные кадры

3.11, Аноним (11), 12:07, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+19 +/–
Рыночек порешал

3.14, Аноним (3), 12:34, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+2 +/–

> так и технических

программных, конечно, очепятался)

4.44, Аноним (-), 16:39, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+9 +/–

Да вообще-то и в технической части оверинженерия и баги дуром прут, если поинтересоваться.

А что до переплаты - ровно наоборот: нанимают джунов и вебмакак чтобы платить меньше, ставят сроки и требования "надо еще вчера, как-то работает же - релизимся". И получается то что получается.

Любую работу можно выполнить быстро, дешево и качественно. Выберите два из трех.

5.97, гоквч (?), 12:45, 24/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
В BIOS очень долго был пункт Gata A20. Это аппаратный косяк :)

4.53, Аноним (53), 18:19, 21/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
Гуманитарии?

5.105, bOOster (ok), 04:52, 27/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
1C программисты с гуманитарным прошлым.

3.29, Аноним (29), 14:14, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+12 +/–
Сделай свое IT, в котором суперпрофессионалы за мелкий прайс будут делать всё бескостыльное.

4.35, Аноним (3), 15:17, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
я и не говорил про копейки/гроши/центы, просто получают современные горе погромисты чересчур много за откровенно не сверхъестественные/сакральные знания, работа факт непыльная

5.37, Аноним (-), 15:23, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
сколько стоит вырастить с личинуса достойного программиста ? сколько тебе надо личинусов и денег чтоб вырастить одного ?

6.50, Аноним (3), 17:08, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
хз я их не ращу

7.52, Аноним (-), 17:38, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+4 +/–
Тогда можешь за бесценок кодить лучше. И жить в картонной коробке, кули. Желательно убив до этого полжизни на образование.

5.66, Аноним (66), 23:08, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–2 +/–
В развитых странах погромист получает что-то уровня продавца в пятёрочке, так что чересчур много это только для жителей периферии.

6.83, nn (??), 04:33, 23/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Ну зайди хоть раз на glassdoor и посмотри сколько они там получают. И сколько получает обжарщик бургеров в маке. После этого вся подобная пропаганда из головы начнет выветриваться.

7.94, Аноним (66), 22:09, 23/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Хорошо, может быть слишком радикальная аналогия. Скажем мягче, там эта разница не так сильно заметна, по многим причинам.

5.71, Аноним (71), 23:55, 21/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+4 +/–
> Кто-то смеет жить слишком хорошо, не особо напрягаясь! вот жеж сцуки, так не должно быть!

5.72, Аноним (71), 23:57, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Правильно предложили выше - сделай своё ИТ, в котором будешь унижать их "никчёмностью" и платить копейки. "А то зажрались, ёпта!"

3.67, Аноним (66), 23:09, 21/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Ну да, и что ты сделаешь?

2.86, Анонимомус (?), 11:17, 23/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Из которых 2/5 ушло на проприетарное изделие Microsoft Teams.

1.2, Аноним (3), 11:39, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+3 +/–
ломайте их, ломайте их полностью

2.27, Аноним (27), 14:06, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
И тёлочкам в силиконовой долине силиконом буфера переполняйте

1.4, Аноним (4), 11:42, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
На экране в командной строке root. Нас дурят.

2.41, OpenEcho (?), 15:54, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
> На экране в командной строке root. Нас дурят. На title bar глянь, чувак зашел под pwn2own@ubuntu, а оказался под рутом

3.45, Аноним (-), 16:41, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Вот поэтому 40 штук нерублей и получит не он, с его компетенцией только насест в сельском сортире ломать :)

4.68, Аноним (66), 23:09, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Убунту.

4.79, aname (?), 15:24, 22/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Чё сказать- то хотел?

5.81, Аноним (66), 19:41, 22/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Он пошутил.

3.95, N1 (?), 11:51, 24/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Перешёл на root через su. Titlebar не поменялся. Это ни о чём не говорит.

2.106, ммнюмнюмус (?), 15:00, 01/06/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Или автор специально скрыл историю команд, заспамив Enter'ом.

1.5, Аноним (4), 11:45, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+4 +/–
> не увенчались успехом, попытки взлома Microsoft Windows 11, Tesla и Microsoft Teams Точно дурят.

2.7, Аноним (3), 11:46, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
так ты выше посмотри список, новость просто оформлена кривовато

2.8, Аноним (8), 11:49, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Еще как... SUCCESS - On the final attempt of the competition, Bruno PUJOS (@brunopujos) from REverse Tactics successfully achieved Elevation of Privilege via Use-After-Free on Microsoft Windows 11. Bruno earns $40,000 and 4 Master of Pwn points.

3.25, Аноним (25), 13:24, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Microsoft Windows 11 (6 успешных взломов и 1 неудачный) .

1.9, Аноним (-), 11:51, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+14 +/–
Мда, сплошные Use-After-Free, Double-Free, OOBW и маленькая россыпь логических ошибок...

2.13, onanim (?), 12:26, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+5 +/–
да, пришло время переписать всё на Rust... приступай.

3.19, Аноним (3), 12:39, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
rust точно не панацея от всех проблем, он и сам-то по большому счёту проблема

4.21, Ooiiii (?), 12:47, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Это была шутка. (или нет?)

5.40, warlock (??), 15:36, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Конечно шутка: время ещё не пришло. Но оно придёт.

5.54, Аноним (-), 18:25, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
> Это была шутка. (или нет?) С советом директоров где заправляет гугл, амазон и майкрософт? Как бы это вам сказать?

6.59, Без аргументов (?), 18:42, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Это уже чёрный юмор получается. NodeJS тоже кто-то сильно ногами и мешками денег пропихивал

7.63, Аноним (-), 21:22, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Это уже чёрный юмор получается.

Учитывая наличие МS, Oracle, IBM, Sony и прочих в https://linuxfoundation.org/board-of-directors/
обыкновенное опеннетное избирательное восприятие реальности ...

8.65, Без аргументов (?), 22:13, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Моё восприятие реальности насчет Линукса аналогичное, т к IBM Я уже комментил ... текст свёрнут, показать

3.46, Аноним (-), 16:43, 21/05/2022 Скрыто ботом-модератором [к модератору]	–1 +/–

2.43, Аноним (-), 16:26, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Рад что вы признали проблему)) Это первый шаг к ее решению.

3.76, Аноним (76), 13:05, 22/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Но решение может последовать вовсе не на Rust.

2.58, Без аргументов (?), 18:41, 21/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Новость специально составлена про намёк на него самого. Но в некрософте же на дотнеточке, не?

3.70, Аноним (-), 23:47, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
В некрософте кроме си еще и плюсы во все поля. Так что вполне логично что куча проблем с памятью.

1.20, Аноним (20), 12:40, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Блжд, как последний абзац новости может существовать в одной и той же новости с тексом выше в этой вселенной?!

2.22, Ooiiii (?), 12:49, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Да, очень смахивает на 'отрицательный рост экономики'

2.24, Аноним (24), 13:02, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+2 +/–

В начале же написано:

> Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей.

Вот цели трех неудачных попыток и перечислили.

3.26, Аноним (20), 14:05, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> В начале же написано: >> Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей. > Вот цели трех неудачных попыток и перечислили. ОК, претензии сняты, т.к. поправили текст, до более разъеснённой внятной формы, спасибо уважаемым авторам редакции!

1.28, нонейм (?), 14:07, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Ubuntu Desktop про сервер не сказали ничего

2.51, пох. (?), 17:37, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Локальные ж уязвимости. А у твоего сервера и клавиатуры-то небось нет, как они его сломают?

3.73, WhiteKozak (?), 09:02, 22/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
😂😂😂

2.77, Аноним (77), 13:31, 22/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Его не представили чтобы не так больно было

1.31, Аноним (31), 14:37, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Есть взломы(уязвимости) от части потому что мало технической сути в ОСях и много разных свистелок, который по факту представляет маркетинг для массового пользователя.

1.33, Аноним (33), 15:07, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
Снапы , лайвпатчи... тьфу на тебя, убунта

2.56, Аноним (-), 18:27, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Снапы , лайвпатчи... тьфу на тебя, убунта Use Debian, Luke!

1.34, Аноним (34), 15:07, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Вот объясните, зачем мне париться, рисковать поломкой системы и неожиданными вирусами со стороны авторов софта либо его дерева зависимостей и устанавливать обновления, если на каждой pwn2own ломают обновленную до самого новья систему?

2.36, Аноним (36), 15:18, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Там в основном локальное повышение привилегий, что не страшно, если вы не пускаете на свой компьютер недоверенных пользователей и не запускаете недоверенный код. Но в обновлениях иногда патчат удаленно эксплуатируемые уязвимости, что гораздо серьёзней.

2.38, Аноним (38), 15:25, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
я тоже перестал обновляться после Windows XP

3.42, Ooiiii (?), 16:21, 21/05/2022 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
А я ушел на дебиан, после видовс семь, чего и вам желаю.

4.49, Аноним (-), 16:52, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
И правильно сделал. В убунте пафоса много а реально тоже скатились в шпионаж за юзером и медвежьи услуги для даунов.

5.57, Аноним (53), 18:30, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Где почитать? Просто интересно )

6.87, Аноним (87), 12:21, 23/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
В ответе предыдущего анонима же. Собственно, это вся информация. Рекурсия, блин.

3.60, Аноним (60), 19:16, 21/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Всё правильно сделал. Полпись: благодарный ботнет.

3.99, Аноним (99), 11:00, 25/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
На Arch Linux, либо на Manjaro Libux переходи

2.48, Аноним (-), 16:51, 21/05/2022 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Так это... кодеры не боги чтобы ВСЕ предусмотреть. Поэтому хакеры могут придумать что-то не предусмотренное кодером и что-то с этого поиметь. Обновления исправляют известные проблемы. В нормальных дистрах Linux, хоть тех же убунте и дебиане ничего не ломают, там только фиксы известных вулнов. Шансов что что-то сломается - минимум. В этом весь смысл стабильных релизов дистров с зажатием версий до нового релиза. А если свежак всегда хочется это всякие арчики и генты, но они и разваливаются на раз когда свежак делает что-то не то. Да, как вы поняли в новой версии могут добавить новые баги. Фикс только уязвимостей это несколько обходит ограничивая масштаб изменений.

2.78, n00by (ok), 14:05, 22/05/2022 Скрыто ботом-модератором [к модератору]	–1 +/–

3.80, Аноним (66), 19:40, 22/05/2022 Скрыто ботом-модератором [к модератору]	+1 +/–

4.84, n00by (ok), 09:21, 23/05/2022 Скрыто ботом-модератором [к модератору]	+/–

1.62, абв (?), 21:18, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Мне вот интересно как все это действие происходит.

Они приходят туда уже с готовыми знаниями/идеями что именно и где именно может быть сломано/использовано, или на месте проводят исследования на уязвимости?
Опять же, они приходят со своими тулзами или использую стандартный набор утилит, который доступен в ОС?

В общем, если кто знает где можно почитать про внутреннюю кухню или откровения команд(ы), дайте, пожалуйста, ссылку или расскажите.

Спасибо.

2.69, Аноним (66), 23:30, 21/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Всё своё и подготовлено заранее. Хотя может быть и на месте проводят какие-то конкурсы, ради зрелищ, от организаторов зависит. Хакерские форумы или безопасников почитай, может кто расскажет подробнее. Через пару месяцев chaos constructions в питере, а недавно phdays в москве был. Можешь пообщаться с живыми людьми, что-нибудь да расскажут.

2.74, лютый жабби___ (?), 09:56, 22/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
>Они приходят туда уже с готовыми знаниями/идеями что именно и где именно может быть сломано/использовано ну явно такие дыры заранее ищут, потом качают готовый эксплоит на тестовом стенде и запускают.... иногда что-то идёт не так (высосал из пальца, но уверен на 99.9% что так всё и есть)

2.88, Аноним (87), 12:22, 23/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Ну да. Заходят рутом, форматируют диск, называют уязвимостью, получают бабло, профит.

3.92, абв (?), 16:48, 23/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Ну да. Заходят рутом, форматируют диск, называют уязвимостью, получают бабло, профит. Ха-ха, смешно.

1.64, Anto Nimno (?), 21:53, 21/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Тимзы халтуру прополоскали в этом. Показали... Достойно.

1.85, Аноним (85), 11:16, 23/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Кто то хорошо бабла поднял...

2.89, Аноним (87), 12:23, 23/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Но не 40 бильярдов.

1.90, Аноним (90), 13:11, 23/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Teams в этом плане это просто эльдорадо.

1.93, Аноним (93), 17:11, 23/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> продемонстрировано 5 взломов Ubuntu А где астра, альт, роса,...

2.100, n00by (ok), 14:58, 25/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Взлом сайта Розы, о котором разработчики узнали от пользователей ВКонтакте. Пользователь выложил видео, как он заходит на сайт. Это копия для истории https://vk.com/video62871615_456239110

3.104, Аноним (66), 01:22, 27/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Теперь понятно. Ух, бизапасность!

1.96, Аноним (-), 12:44, 24/05/2022 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Интересный скриншот.

Как взломать линукс:

$ function id() { echo 'uid=0(root) gid=0(root) groups=0(root)'; }
$ function whoami() { echo root; }
$ PS1='root@ubuntu:/# '
root@ubuntu:/# id
uid=0(root) gid=0(root) groups=0(root)
root@ubuntu:/# whoami
root
root@ubuntu:/#

2.98, непох (?), 13:25, 24/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
сработает же лишь если твой id расположен в путях, перечисленных в path зачем там /root или ~./ хз

3.101, RM (ok), 15:43, 25/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
> сработает же лишь если твой id расположен в путях, перечисленных в path Если исходное сообщение, на которое был дан ответ выше, не редактировалось, то даже ник "непох" - это выдающаяся наглость и самомнение.

4.102, непох (?), 13:38, 26/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
>> сработает же лишь если твой id расположен в путях, перечисленных в path > Если исходное сообщение, на которое был дан ответ выше, не редактировалось, то > даже ник "непох" - это выдающаяся наглость и самомнение. Аноним не может редактировать свои сообщения. В чем именно состоит наглость и самомнение в моем нике? На лавры и регалии поха никогда не претендовал.

5.103, RM (ok), 19:14, 26/05/2022 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

>>> сработает же лишь если твой id расположен в путях, перечисленных в path
>> Если исходное сообщение, на которое был дан ответ выше, не редактировалось, то
>> даже ник "непох" - это выдающаяся наглость и самомнение.
> Аноним не может редактировать свои сообщения.
> В чем именно состоит наглость и самомнение в моем нике? На лавры
> и регалии поха никогда не претендовал.

Наглость и самомнение заключались прежде всего в самом ответе, а ник это уже последняя капля.
Можно по разному относиться к поху, но он так бы не налажал точно.
Про причине понимания базовых принципов все же.
Ubuntu --> bourne shell
bourne shell --> Shell Functions
оно к path никаким боком

можно же было хоть попробовать в консоли

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: