Tijdens dag 2 van Pwn2Own Vancouver 2023 ontvingen concurrenten $ 475.000 na het succesvol exploiteren van 10 dagen nul voor meerdere producten.
De gehackte doelen waren onder meer de Tesla Model 3, het Microsoft Teams-communicatieplatform, het virtuele Oracle VirtualBox-platform en het Ubuntu Desktop-besturingssysteem.
Het hoogtepunt van dag twee was een succesvolle poging van Synacktiv’s David Berard (@_p0ly_) en Vincent Dehors (@medewerker) tegen Tesla – de wortel van het ongeremde infotainment.
Dit leverde hen $ 250.000 op en stelde hen in staat een Tesla Model 3 te bemachtigen na hacking via de overflow-stack en het schrijven van een OOB-exploitstring.
Thomas Imbert van Synacktiv (@medewerker) en Thomas Boozer (@medewerker) maakte ook met succes gebruik van een reeks van drie privilege-escalatiefouten op een Oracle VirtualBox-host om $ 80.000 te verdienen.
Bij een derde poging van Synacktiv, Tanguy Dubroca (@medewerker) werd $ 30.000 toegekend voor de demonstratie van een onjuiste zero-day benchmark resulterend in privilege-escalatie op de Ubuntu-desktop.
Vettel-team (@medewerker) ook Microsoft Teams gehackt via een Series 2-bug om $ 78.000 te verdienen en Oracle’s VirtualBox met een use-after-free (UAF) bug en een niet-geïnitialiseerde variabele voor $ 40.000.
Op dag 1 ontvingen Pwn2Own-deelnemers $ 375.000 en een Tesla Model 3-auto na het succesvol pitchen van 12 Zero Days in Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox en macOS.
Op de laatste dag van de wedstrijd zullen beveiligingsonderzoekers zero-day exploits proberen in Ubuntu Desktop, Microsoft Teams, Windows 11 en VMware Workstation.
Pwn2Own Vancouver 2023 Deelnemers kunnen tussen 22 en 24 maart $ 1.080.000 in contanten en twee Tesla Model 3-auto’s winnen.
Onderzoekers Producten zullen gericht zijn uit meerdere categorieën tijdens de competitie, waaronder Enterprise Applications, Enterprise Communications, Servers, Virtualization, Automotive en Local Privilege (EoP) Escalation.
“Het evenement van dit jaar belooft spannend onderzoek, aangezien we 19 inzendingen hebben gericht op negen verschillende doelen – waaronder twee Tesla-pogingen”, zei ZDI.
“Voor het evenement van dit jaar betaalt elke ronde de volle prijs, wat betekent dat als alle exploits succesvol zijn, we meer dan $ 1.000.000 USD zullen toekennen.”
Leveranciers moeten geteste zero-day-kwetsbaarheden patchen en deze openbaar maken via Pwn2Own binnen 90 dagen voordat het Zero Day Initiative van Trend Micro technische details openbaar maakt.
Op Pwn2Own Vancouver 2022 verdienden beveiligingsonderzoekers $ 1.155.000 nadat een Tesla Model 3 Infotainmentsysteem was gehackt, waarbij Windows 11 zes keer crashte, drie Microsoft Teams nul dagen vertoonde en Ubuntu Desktop vier keer misbruikte.
More Stories
Apple kondigt uitbreiding van Vision Pro naar nog twee landen aan
Hoe u de Apple Gehoortest doet met AirPods Pro 2
Apple kondigt MacBook Pro-modellen aan met M4 Pro- en M4 Max-chips, Thunderbolt 5-ondersteuning en meer