Pwn2Own Vancouver 2023第2天:Microsoft Teams、Oracle VirtualBox和Tesla被黑

在 Pwn2Own Vancouver 2023 的第二天,该组织为 10 个独特的零日漏洞奖励了 475,000 美元。

在Pwn2Own Vancouver 2023的第二天,该组织为10 独特的零日漏洞奖励了475,000美元,使奖励总额达到850,000美元!

漏洞猎手演示了针对Oracle VirtualBox虚拟化平台、Microsoft Teams、Tesla Model 3和Ubuntu桌面操作系统的零日攻击。

这一天的开始是来自Synacktiv(@Synacktiv )的Thomas Imbert(@masthoon)和 Thomas Bouzerar(@MajorTomSec)取得的成功/碰撞,展示了针对Oracle VirtualBox的3-bug链和主机EoP。此次成功被归类为“碰撞”,因为攻击中利用的其中一个漏洞是先前已知的。应得的收入为80,000美元和8个Master of Pwn积分。

 来自Team Viettel(@vcslab) 的研究人员@hoangnx99、@rskvp93和@_q5ca链接了2个漏洞来破解Microsoft Teams。他们赚取75,000美元和8个Master of Pwn积分。

当然,最有趣的攻击是由Synacktiv (@Synacktiv)的David Berard(@_p0ly_)和Vincent Dehors(@vdehors)发起的,他们利用堆溢出和OOB写入来破解Tesla–Infotainment Unconfined Root。他们有资格获得 2 级奖励,获得250,000美元和25个Master of Pwn积分。该团队还赢得了他们破解的特斯拉Model 3。

Pwn2Own 温哥华 2023

Viettel团队(@vcslab) 的研究员dungdm (@_piers2)利用一个未初始化的变量和一个UAF错误来破解Oracle VirtualBox。他获得了40,000美元和4个Master of Pwn积分。

来自Synacktiv的Tanguy Dubroca(@SidewayRE)因展示利用不正确的指针缩放零日导致Ubuntu桌面上的权限升级而获得30,000美元奖励。他们赚取30,000美元和3个Master of Pwn积分。

“Pwn2Own温哥华 2023 的第 2 天到此结束!在比赛的第二天,我们为 10 个独特的零日漏洞奖励了 475,000 美元。我们将继续在Twitter、YouTube、Mastodon、LinkedIn和Instagram上发布结果和视频,因此请在您最喜欢的社交媒体上关注我们,了解活动的最新消息。”

在 Pwn2Own Vancouver 2023的第一天,该组织为12个零日漏洞奖励了375,000 美元(和一辆 Tesla Model 3)。

Pwn2Own温哥华2023继续……敬请期待!

关于Pwn2Own

Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5342.html

标签