Forwarded from SecAtor
Второй день мероприятия Pwn2Own 2021, проводимого в рамках программы Zero Day Initiative от японской инфосек компании Trend Micro (результаты первого дня - здесь):
- команда Jack Dates, которая вчера накорячила Safari и добилась выполнения кода ядре macOS, сегодня показала комбинацию эксплойтов трех уязвимостей, благодаря которой смогла спастись из песочницы Parallels Desktop и добиться выполнения кода в хостовой ОС;
- два европейских исследователя продемонстрировали эксплойт для Chrome и Edge, благодаря которому добились удаленного выполнения кода (RCE);
- эксплойт трех ошибок, влекущий RCE в ZOOM;
- еще один эксплойт для Parallels Desktop, позволяющий добиться выполнения кода в хостовой ОС (правда похоже, что в обоих случаях гостевая ОС использовалась не удаленно, плюс непонятно что там с необходимыми привилегиями);
- куча всего поменьше.
Всего за два дня исследователям выплачены почти 1,1 млн. долларов за успешно продемонстрированные эксплойты. Ждем завершающего третьего дня.
- команда Jack Dates, которая вчера накорячила Safari и добилась выполнения кода ядре macOS, сегодня показала комбинацию эксплойтов трех уязвимостей, благодаря которой смогла спастись из песочницы Parallels Desktop и добиться выполнения кода в хостовой ОС;
- два европейских исследователя продемонстрировали эксплойт для Chrome и Edge, благодаря которому добились удаленного выполнения кода (RCE);
- эксплойт трех ошибок, влекущий RCE в ZOOM;
- еще один эксплойт для Parallels Desktop, позволяющий добиться выполнения кода в хостовой ОС (правда похоже, что в обоих случаях гостевая ОС использовалась не удаленно, плюс непонятно что там с необходимыми привилегиями);
- куча всего поменьше.
Всего за два дня исследователям выплачены почти 1,1 млн. долларов за успешно продемонстрированные эксплойты. Ждем завершающего третьего дня.
Twitter
Zero Day Initiative
We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc
За 3 дня исследователи безопасности на конкурсе Pwn2Own заработали $1,035,000, эксплуатируя нулевые уязвимости в Windows 11, Ubuntu Desktop, macOS, и даже Tesla Model 3. Три команды взломали Ubuntu Desktop, используя уязвимости нулевого дня, а автомобиль Tesla был присужден специалистам Synacktiv за 27 0-Day эксплойтов.
#компьютерная_безопасность #Pwn2Own #нулевая_уязвимость #хакерство #Ubuntu #Windows11 #macOS #Tesla @SecLabNews,
#компьютерная_безопасность #Pwn2Own #нулевая_уязвимость #хакерство #Ubuntu #Windows11 #macOS #Tesla @SecLabNews,
SecurityLab.ru
Трижды взломана: Ubuntu Desktop стала главной целью на третий день Pwn2Own
Команда Synacktiv забирает $530 000 и Tesla Model 3 как победители хакерского конкурса.
👍33🔥13❤3💩1🖕1
Forwarded from 0day Alert
Pwn2Own: VMware ESXi взят штурмом
🔐 На хакерском турнире Pwn2Own в Берлине впервые в истории был успешно взломан гипервизор VMware ESXi. Эксперт по безопасности Нгуен Хоанг Тач из команды STARLabs SG использовал уязвимость переполнения целого числа, получив за свое достижение $150 000 и 15 очков в турнирной таблице.
🌐 Событие произошло на фоне серьезных проблем с безопасностью в корпоративной среде за последние недели. Агентство кибербезопасности США (CISA) сообщило об активно эксплуатируемой уязвимости в Chrome, а Microsoft подтвердила наличие критической угрозы в облачной инфраструктуре с максимальной оценкой 10 из 10.
🏆 Pwn2Own — это престижное соревнование, проводимое дважды в год среди элитных хакеров мира. Участники в ограниченное время атакуют продукты, используя неизвестные ранее уязвимости, чтобы выявить их раньше киберпреступников и получить заветное звание Master of PWN.
#Pwn2Own #VMware #ZeroDay
@ZerodayAlert
#Pwn2Own #VMware #ZeroDay
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Впервые с 2007 года: гипервизор VMware сдался под эксплойтом за $150K
Премия в $150 000 и новый этап в истории уязвимостей гипервизоров
🔥61
На Pwn2Own Ireland 2025 не случилось громкой сенсации. Команда Z3 отказалась показывать эксплойт для WhatsApp, за который могла получить рекордный приз — $1 млн. В Zero Day Initiative сообщили, что исследователи сняли заявку, посчитав своё исследование «пока не готовым к публичной демонстрации». При этом Meta* остаётся заинтересованной в этой работе — Z3 передаст материалы аналитикам ZDI для предварительной оценки, после чего они будут направлены инженерам WhatsApp.
Конкурс прошёл в Корке с 21 по 23 октября и собрал сильнейших специалистов по безопасности. За три дня участники продемонстрировали эксплуатацию 73 zero-day уязвимостей и заработали $1 024 750.
В этом году атаковали почти всё — от NAS-систем и камер до iPhone 16, Galaxy S25 и Pixel 9. Впервые в истории участникам дали задачу взломать смартфон через USB даже при заблокированном экране.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
#Pwn2Own #WhatsApp #Инфобез
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
$1 миллион на кону. Хакеры отказались показывать уязвимость в WhatsApp на Pwn2Own, сославшись на «неготовность»
Но Meta все равно получит данные.
🔥79💯57