本周在溫哥華舉行的為期三天的Pwn2Own黑客大會上，微軟、Ubuntu和Tesla產(chǎn)品的幾個漏洞被持續(xù)發(fā)現(xiàn)并被利用。該會議由趨勢科技的零日計劃組織，為黑客提供了一個賺錢的機會，為主流科技廠商們換取發(fā)現(xiàn)和利用流行產(chǎn)品的漏洞。

到星期四第二天結(jié)束時，會議已經(jīng)支付了94.5萬美元的獎勵，其中包括7.5萬美元給攻擊性安全公司Synacktiv的黑客，他們在特斯拉Model 3信息娛樂系統(tǒng)中發(fā)現(xiàn)了兩個獨特的漏洞。這些漏洞使黑客能夠接管汽車的一些系統(tǒng)。零日計劃最后還購買了特斯拉Model 3診斷以太網(wǎng)的一個漏洞，并將其披露給汽車制造商。

Sea Security Response的安全工程師Bien Pham和美國西北大學(xué)的一個團隊展示了Ubuntu臺式機上的兩個"Use After Free"的特權(quán)提升漏洞。這種類型的漏洞是由于應(yīng)用程序管理內(nèi)存不善而發(fā)生的漏洞。內(nèi)存損壞的漏洞通常被用來攻擊和利用瀏覽器。

在比賽的第三天，在Ubuntu中發(fā)現(xiàn)了另一個Use After Free漏洞，同時還有其他微軟Windows 11漏洞。

在活動的第一天，有16個零日漏洞在Ubuntu桌面、蘋果Safari、甲骨文Virtualbox、Mozilla Firefox，以及微軟的Windows 11和Teams中被利用。

上述被利用的16個零日漏洞獲得了超過80萬美元的獎勵。

今年是該比賽舉辦15周年，來自幾十家網(wǎng)絡(luò)安全公司的17名參賽者針對21種不同的產(chǎn)品進行了多類比賽。STAR實驗室在第二天結(jié)束時以27萬美元的總收入領(lǐng)先。

供應(yīng)商有90天的時間對比賽期間披露的所有漏洞進行修復(fù)。

關(guān)鍵詞： Pwn2Own 2022黑客大賽繼續(xù)拿下特斯拉微軟和Ubuntu cnBeta