2024年Pwn2Own温哥华黑客大赛首日,一支名为Synacktiv的法国安全研究团队在特斯拉汽车电子控制单元(ECU)中发现了一个零日漏洞,凭此赢得了一辆特斯拉Model 3以及20万美元的奖金。
Pwn2Own大赛由Trend Micro的Zero Day Initiative(ZDI)主办,第一天赛程结束后,ZDI共对发现的19个零日漏洞发放了732500美元的奖金,参赛队伍中Synacktiv团队暂时名列榜首。比赛期间发现的所有漏洞都会先通知相关供应商进行修补(90天后公开披露),因此目前对于该漏洞的细节了解甚少,只知道Synacktiv是利用了一个整数溢出漏洞来利用具有车辆CAN总线控制的特斯拉ECU。值得一提的是,这已经是Synacktiv第二次在Pwn2Own比赛中赢得特斯拉汽车了。排行榜第二名的Manfred Paul于比赛首日获得了总计102500美元奖金,通过利用苹果Safari的一个整数下溢漏洞实现了远程代码执行(RCE),此外还展示了一个PAC绕过漏洞。在比赛的第二轮中,Manfred Paul利用一种罕见的CWE-1284“输入中指定数量的验证不正确”漏洞,在Chrome和Edge浏览器上实现了双击利用。在Pwn2Own排行榜上紧随Manfred Paul之后的是韩国Team Theori,他们在攻击中结合了变量未初始化漏洞、释放后重用(UAF)漏洞和堆缓冲区溢出漏洞,达成VMware Workstation逃逸,并在主机Windows OS上以系统权限执行代码,以此赢得了130000美元的奖金。据了解,在去年的Pwn2Own温哥华大赛中,拔得头筹的也是这个Synacktiv队伍。当时所有参赛黑客们在Windows 11、微软Teams、微软SharePoint、macOS、Ubuntu Desktop、VMware Workstation、Oracle VirtualBox、特斯拉Model 3等产品上共发现了27个零日漏洞,共赢走了一辆特斯拉汽车以及103.5万美元赏金。编辑:左右里
资讯来源:Zero Day Initiative
转载请注明出处和本文链接
道德黑客、白帽子(ethical hackers)
经过培训负责网络安全方法、主要目的是进行非破坏性和非入侵测试的人。道德黑客代表安全系统的所有者攻击安全系统,以便确定和记录系统的脆弱性。这样一来,安全系统的所有者就能够在恶意的黑客利用这些脆弱性之前进行补救。道德黑客与普通黑客使用相同的方法,不过会报告他们所发现的问题,而不是像普通黑客那样牟取自己的利益。
文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458548735&idx=3&sn=ef742829c0d4e75478c2f6c62570dacc&chksm=b18d497586fac06325008965d234211518e1b8e1ea5731e60edfd1772872cbf27827a77146ce&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh