Onderzoekers demonstreren zerodays in Tesla en VMware Workstation
Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben onderzoekers tal van zerodaylekken in Ubuntu Linx, Windows, Apple Safari, Google Chrome, Microsoft Edge en Oracle VirtualBox gedemonstreerd. Het waren echter zerodays in een Tesla Model 3 en VMware Workstation die op de eerste dag de show stalen. Pwn2Own is een wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die het probleem kan verhelpen.
Tijdens de editie in Vancouver hebben deelnemers de keuze om zerodays te demonstreren in populaire browsers, containers, virtualisatiesoftware, kantoorsoftware, Microsoft-serversoftware, besturingssystemen, zakelijke communicatiesoftware en onderdelen van een Tesla Model 3 of Tesla Model S. Daarbij is het grootste bedrag te verdienen met een succesvolle aanval op de Tesla's. In het geval onderzoekers de autopilot weten te compromitteren wordt hier een bedrag van 500.000 dollar voor betaald.
Op de eerste dag lieten onderzoekers van Synacktiv zien hoe ze de Tesla "electronic control unit (ECU) met Vehicle (VEH) CAN BUS Control konden compromitteren. Hiervoor werd een enkele integer overflow gebruikt. Dit leverde de onderzoekers een beloning van 200.000 dollar op en een nieuwe Tesla Model 3. De andere demonstratie die opviel was een aanval op VMware Workstation.
Onderzoekers van Theori wisten via drie kwetsbaarheden uit VMware Workstation te breken en vervolgens code met systeemrechten op het onderliggende Windows-systeem uit te voeren. Deze aanval leverde de onderzoekers een bedrag van 130.000 dollar op. Details worden eerst met de betreffende leveranciers gedeeld, zodat die updates kunnen ontwikkelen. Vandaag vindt de tweede dag plaats van Pwn2Own Vancouver.
BUG COLLISION - The DEVCORE Team was able to execute their LPE attack against Ubuntu Linux. However, the bug they used was previously know. They still earn $10,000 and 1 Master of Pwn points.
Die andere is niet kritiek:
SUCCESS - Kyle Zeng from ASU SEFCOM used an ever tricky race condition to escalate privileges on Ubuntu Linux desktop. This earns him him $20,000 and 20 Master of Pwn points.
Ik vraag mij wel af waarom ze de minst veiliger Ubuntu nemen ipv bv redhat linux desktop.
Windows 11 is weer behoorlijk lek gebleken. https://www.zerodayinitiative.com/blog/2024/3/20/pwn2own-vancouver-2024-day-one-results
BUG COLLISION - The DEVCORE Team was able to execute their LPE attack against Ubuntu Linux. However, the bug they used was previously know. They still earn $10,000 and 1 Master of Pwn points.
Die andere is niet kritiek:
SUCCESS - Kyle Zeng from ASU SEFCOM used an ever tricky race condition to escalate privileges on Ubuntu Linux desktop. This earns him him $20,000 and 20 Master of Pwn points.
Ik vraag mij wel af waarom ze de minst veiliger Ubuntu nemen ipv bv redhat linux desktop.
Windows 11 is weer behoorlijk lek gebleken. https://www.zerodayinitiative.com/blog/2024/3/20/pwn2own-vancouver-2024-day-one-results
Vind 't allemaal heel knap hoor maar probeer dat maar een tegen een up-to-date ubuntu server box waar een firewall op draait.
Ook op windows zitten verreweg de meeste kwetsbaarheden in de GUI.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.