Black Hat USA 2023 会议期间 日前举行(5月10日至XNUMX月XNUMX日,拉斯维加斯曼德勒湾会议中心) 它变得众所周知 年度奖项获奖名单公布 2023 年 Pwnie 奖
对于那些不了解 Pwnie Awards 的人来说,你应该知道它是并且是一个突出的事件, 参与者揭示了计算机安全领域最重大的漏洞和荒谬的失败。
Pwnie 奖旨在表彰信息安全领域的卓越和无能者。 获奖者由安全行业专业人士组成的委员会从信息安全社区收集的提名中选出。
该奖项每年在黑帽安全会议上颁发, 它们被认为相当于计算机安全领域的奥斯卡奖和金酸莓奖。
2023 年 Pwnie 奖获奖者名单
最佳桌面漏洞
获胜者是脆弱性 CVE-2022-22036 在性能计数器机制中,它允许您提升 Windows 中的权限。
更好的权限提升漏洞。
获胜者是脆弱性 USB Excalibur (CVE-2022-31705) VMware ESXi、Workstation 和 Fusion 虚拟化产品中使用的 USB 驱动程序的实现。 该漏洞允许从客户系统访问主机环境并使用 VMX 进程的权限执行代码。
最好的远程执行漏洞
获胜者是脆弱性 (CVE-2023-20032) 在 ClamAV 免费防病毒软件中,允许在扫描具有 HFS+ 格式的特制磁盘映像的文件时执行代码(例如,扫描从电子邮件中提取的文件时)。 服务器)。
最大的成就。
该奖项授予 Google 威胁分析小组的 Clement Lecigne,表彰他识别出用于攻击 Chrome、iOS 和 Android 的 33 个 0day 漏洞的工作。
最好的加密攻击。
该奖项授予了一种攻击方法,该方法允许通过分析 LED 指示灯(其中 我们在这里分享一个帖子 在博客上)。 它允许通过对摄像头的视频分析来恢复基于 ECDSA 和 SIKE 算法的加密密钥,该摄像头捕获智能卡读卡器的 LED 指示灯或通过智能手机连接到 USB 集线器的设备,并使用加密狗执行操作。
最具创新性的研究。
这项胜利是由一项研究赢得的,该研究表明使用苹果的闪电连接器访问 iPhone 的 JTAG 调试接口并获得对设备的完全控制的可能性。
在这一类别中,值得一提的是,他们也获得了提名,进攻 倒台 至英特尔 CPU 和 Centauri,一种基于 Rowhammer 的方法 生成独特的指纹
最被低估的研究
在这一类别中,获胜者是趋势科技员工的一项研究,该研究发现了 Windows CSRSS 中的一类新漏洞,这些漏洞允许通过激活上下文缓存中毒进行权限升级。
最大的失败(Most Epic FAIL)。
该奖项由 TSA (交通安全管理局) 美国未能限制对 Elasticsearch 公开可用存储库的访问,该存储库除其他外还包含禁飞列表。
最舔反应
提名对产品本身漏洞报告的最不当响应。 胜利属于Threema,他对该公司“安全”消息协议的安全分析反应反复无常,并且没有认为所发现的关键问题很严重。
最后,如果您有兴趣能够了解更多,可以在 下一个文档 其中共享每个案例的详细信息。
值得一提的是,在 Pwnie Awards 官方网站上,文档中分享的信息尚未更新,几天后就会显示同样的信息。 在网站上。