Chrome, Edge, Safari hacket på elite Kinesisk hacking contest

0
187

Catalin Cimpanu

Ved Catalin Cimpanu

for Nul-Dag

| November 17, 2019 — 00:24 GMT (00:24 GMT)

| Emne: Sikkerhed

tianfu-cup-results.jpg

Billede: Tianfu Cup

Kinas top hackere har samlet denne weekend i byen Chengdu for at konkurrere på Tianfu Cup, landets øverste hacking konkurrence.

I løbet af to dage — November 16 og 17 — Kinesisk sikkerhed forskere vil teste nul-dage mod nogle af verdens ‘ s mest populære programmer.

Målet er at udnytte og overtage en app ved hjælp af aldrig-før-set sårbarheder. Hvis angreb lykkes, forskere samle point til en samlet klassificering, pengepræmier, men også det ry, der kommer af at vinde en velrenommeret hacking konkurrence.

Den Tianfu Cup ‘ s regler er identiske med, hvad vi ser på Pwn2Own, verdens største hacking contest. De to begivenheder er mere bundet end de fleste mennesker kender.

Før 2018, Kinesiske sikkerhedspolitiske forskere, der er domineret Pwn2Own, med forskellige hold at vinde konkurrencen år i træk. Nu, alt, at talent er at gå imod hinanden.

I foråret 2018, den Kinesiske regering spærret sikkerhed forskere fra at deltage i hacking konkurrencer arrangeret i udlandet, såsom Pwn2Own. Den TianfuCup var sat op et par måneder senere, som en reaktion på det forbud, og som en måde til lokale forskere til at holde deres færdigheder skarpe. Den første udgave blev afholdt i efteråret 2018 til stor succes, med forskere med succes hacking apps som Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox, og meget mere.

Dag 1 ofre: Krom, Edge, Safari, Office 365

Konkurrencens første dag blev det travleste, med 32 hacking sessioner planlagt på lørdag. Af disse 13 var vellykket, syv hacking sessioner mislykkedes, og i 12 sessioner sikkerhed forskere har opgivet forsøg på udnyttelse af forskellige årsager.

Den succesfulde sessioner, Tianfu Cup arrangørerne rapporteret vellykket hacks af:

(3 succes udnytter) Microsoft Kant (den gamle version er baseret på EdgeHTML motor, som ikke i den nye Chrom version) [kvidre](2) Krom hacks [kvidre](1) Safari [kvidre](1) Office 365 [kvivit, kvivit](2), Adobe PDF Reader [kvidre](3)-D-Link DIR-878 router [kvidre](1) qemu-kvm + Ubuntu [kvivit, kvivit]

Efter den første dag, Team 360Vulcan, en tidligere Pwn2Own vinder, er i spidsen.

I de sidste mange software-leverandører er begyndt at deltage hacking konkurrencer, hvor de sender repræsentanter til at samle op sårbarhed rapporter minutter efter en hacking session slutter — med nogle leverandører forsendelse pletter inden for få timer.

Der var ingen leverandører på Tianfu Cup, men med mange højt profilerede vellykket udnytter blive registreret i konkurrencen første to udgaver, er mange virksomheder vil højst sandsynligt begynde at overveje at sende en repræsentant til næste år.

En konkurrence talsmand fortalte ZDNet i dag, at arrangørerne planlægger at rapportere alle fejl opdaget i dag, at alle respektive leverandører til konkurrencens afslutning.

Dag 2: endnu ikke fastlagt

På tidspunktet for skriftligt, er dag to af Tianfu Cup er endnu ikke påbegyndt. Vi vil opdatere dette stykke med Dag 2 resultater, når de foreligger.

Seksten udnyttelse forsøg har været annonceret til Dag 2, sådan som Ubuntu, Windows Server, VMWare Workstation, og iPhone-11 [se billedet i toppen af artiklen].

Sikkerhed

BlueKeep udnytte til at få et fix for sin BSOD problem

Store ASP.NET hosting udbyder inficeret med ransomware

Apple Mail på macOS blade dele af krypterede e-mails i almindelig tekst

Fastsættelse af data lækager i Jira (ZDNet YouTube)

Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)

Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)

Relaterede Emner:

Apple

Sikkerhed-TV

Data Management

CXO

Datacentre

Catalin Cimpanu

Ved Catalin Cimpanu

for Nul-Dag

| November 17, 2019 — 00:24 GMT (00:24 GMT)

| Emne: Sikkerhed