Провали року: оголошені результати Pwnie Awards 2020

1 хв. читання

Під час конференції з Black Hat Europe відбулась онлайн-церемонія Pwnie Awards 2020. На ній фахівці з кібербезпеки обирають визначні проєкти в цій галузі — найбільші вразливості, найгірші реакції й інші епічні досягнення. Ось переможці цього року:

Серверний баг року: BraveStarr — експлойт дистанційного виконання коду в демоні Telnet на серверах Fedora 31.

Найкращий баг з боку клієнта: безклікова MMS-атака на телефони Samsung, яку помітила команда Google Project Zero.

Помилка розширення привілеїв: Checkm8 — невиправний апаратний джейлбрейк у семи поколіннях мікросхем Apple (від чипів A5 до A11, тобто від пристроїв iPhone 4S до iPhone 8 й iPhone X).

Найкраща криптографічна атака: Zerologon — баг у протоколі автентифікації Microsoft Netlogon. Виконується, якщо додати нулі в певні параметри автентифікації.

Найінноваційніше дослідження: TRRespass — обхід захисту TRR і виконання атак Rowhammer на сучасних картах RAM.

Найгірша реакція постачальника (на повідомлення про вразливість): переможцем номінації став Даніель Дж. Бернштейн (Daniel J. Bernstein), який не виправив баг у qmail, відомий з 2005 року.

Найбільш недооцінене дослідження: виявлення вразливостей CVE-2019-0151 і CVE-2019-0152 у технологіях Intel: в режимі управління системою (SMM) і в технології надійного виконання (TXT).

Найбільш епічний провал: CurveBall — баг Microsoft у реалізації Elliptic Curve Cryptography на Windows, помилка дозволяла легко підробити HTTPS-сайти й легітимні застосунки.

Епічне досягнення року: нагороду отримав Ґуанг Ґонґ (Guang Gong), відомий китайський дослідник, який знайшов три вразливості, що дозволяли дистанційно контролювати пристрої Android Pixel (PDF з дослідженням).

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 5.2K
Приєднався: 9 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація