每年零日倡议都会举办Pwn2Own黑客大赛,吸引了来自世界各地的无数安全研究人员来参赛、交流经验。在这场竞争中,安全研究人员可以通过发现Windows和macOS等主要平台的严重漏洞来获得奖励。
2021年Pwn2Own大会在线直播,提供23项独立的黑客活动,涉及10个不同的产品类别,包括网页浏览器、虚拟机、服务器等。今年的Pwn2Own活动持续了三天,每天持续几个小时,在YouTube上直播。
在今年的Pwn2Own活动中,苹果产品并没有成为主要目标。然而,在发布会的第一天,来自RET2系统的Jack Dates实现了一个从Safari到内核的零日漏洞,这为他赚了10万美元。他在Safari中使用整数溢出和OOB书写来获得内核级代码执行。
在Pwn2Own活动中,其他黑客试图针对微软Exchange、Parallels、Windows10、微软Teams、Ubuntu、Oracle VirtualBox、Zoom、谷歌Chrome和微软Edge。
例如,荷兰研究人员金奎大科佩尔和蒂伊斯阿尔克马德显示了严重的Zoom漏洞。利用三重漏洞,在没有用户交互的情况下,他们通过使用Zoom应用程序获得了对目标PC的完全控制。
Pwn2Own的参与者因发现漏洞获得了超过120万美元的奖励。Pwn2Own给了苹果和其他厂商90天的时间来修复发现的漏洞,因此我们可以预计,该漏洞将在不久的将来的更新中得到解决。
