完璧なオペレーティングシステムはありません。 それはいつも言われてきました。 実際、この記事は次々と登場します。 私たちは話しました 彼らが数時間前に公開したゼロデイ脆弱性の私たちが今話さなければならないことは、それが Pwn2Own 2020 Windows 10、macOS、Ubuntuで最新のバグが見つかりました。 見つかった障害を修復する必要があるのは企業であるため、理論的にはそれほど深刻ではありません。
El Pwn2Own 2020年は今年の ハッカーのためのコンテスト XNUMXつは賞金を受け取ること、もうXNUMXつは自分自身を世界に知らせることです。これにより、大企業に転職することもある仕事を見つけることができます。彼らはただ「バースト」するようなものです。
UbuntuはPwn2Own2020でカーネルに悪用されました
Linuxはオペレーティングシステムでした 落ちたUbuntu RedRocketCTFチームと手を携えて。 このチームは、ルートアクセスを取得できるLPE(Local Privilege Escalation)エクスプロイトを発見しました。 ハッキングチームは、エクスプロイトに30.000ドルを費やしました。 しかし、理論的には、他のチームは、より重要なバグや多数のバグを見つけるためにもう少しお金をかけました。
一等賞は見つけたチームに行きました Safariでのエクスプロイト ブラウザに影響を与えたmacOSカーネルの別のLPEによって。 それを発見したチーム、Georgia Tech Systems Software&Security Labは、その発見に70.000ドルを費やしました。これは主に、エクスプロイトが合計XNUMXつのバグで構成されていたためです。 チームはまた、オペレーティングシステムのSIP(システム整合性保護)を無効にすることに成功しました。
Pwn2OwnのベテランであるFluorescenceとして知られるユーザーは、UAF(use-after-free)バグを使用してWindowsのシステムスケーリング特権を取得しました。 蛍光は40.000ドルかかりました。 コンテスト中に違反した他のソフトウェアは VirtualBox、WindowsおよびVMWareWorkstation上のAdobeReader後者はデモンストレーションできず、賞も獲得できませんでしたが。 主催者は後からVMWareWorkstationのバグを悪用することに成功したので、少なくともそれを発見したチームについては言及しました。
今年のコンテストは、前の年とは異なりました。 コロナウイルスのためにオンラインで開催。 いずれにせよ、現時点で誰もが路上に出かけるのは安全ではないのと同じように、安全なオペレーティングシステムはないことがもう一度実証されました。 したがって、もう一度言います。家にいることと、オペレーティングシステムを常に最新の状態に保つことです。
UbuntuはWind * wsのようなものです。 Qがハッキングされるのはオープンシークレットです(トピックをグーグルで検索するだけです)。 セキュリティの彼の考えは、短いものが彼に届かないように高いロックをかけることです。 タイトルに「Linux」と書いてあったので、本物のLinuxを想像しました。
興味深い記事。
sudoを使用するディストリビューションは…運命にあります…ユーザーのパスワードを使用してrootを実行することは、彼らが何を言おうと、何を考えようとも、良いビジネスではありません。