กลับมาอีกครั้งกับงาน Pwn2Own ประจำปี 2014 ครับ ต้องขออภัยด้วยที่ในปีนี้ผมไม่ได้เขียนแยกเป็นข่าวแต่ละข่าวแต่จับทั้งหมดมารวมกันแทน สำหรับการแข่งขันในปีนี้นั้นจัดขึ้นในวันที่ 12-13 มีนาคมที่ผ่านมาพร้อมกับงานประชุมด้านความปลอดภัย CanSecWest Vancouver 2014
สำหรับกฏการแข่งขันในปีนี้ก็ยังคงเป็นเช่นเดิม โดยมีการแบ่งออกเป็นสามประเภทคือเบราว์เซอร์, ปลั๊กอินและ Grand Prize ซึ่งเป็นการเจาะผ่านช่องโหว่ของ Windows 8.1 ที่มีฟังก์ชัน Enhanced Mitigation Experience Toolkit (EMT) เงินรางวัลสำหรับผู้ที่สามารถเจาะระบบในแต่ละรายการสามารถดูได้จาก ที่นี่ ครับ
นอกเหนือจากการแข่งขัน Pwn2Own แล้วทาง ZDI ผู้จัดงานร่วมกับสปอนเซอร์ทั้ง HP และ Google ได้ร่วมกันจัดการแข่งขัน Pwn4Fun โดยให้พนักงานทั้งจากสองบริษัทเข้าร่วมการแข่งขัน Pwn2Own และถ้าหากบริษัทใดชนะในการแข่งขันก็จะมีการมอบเงินรางวัล 50% เพื่อบริจาคให้กับ Canadian Red Cross ด้วย
ผลการแข่งขันวันแรก
รายการ Pwn4Fun
- ทีม Google เจาะ Safari บน Mac OS X เพื่อรันแอพพลิเคชันในสิทธิ์ของผู้ดูแลระบบได้สำเร็จ
- ทีม ZDI จาก HP ใช้สองช่องโหว่ในการโจมตีและหลบ sandbox ของ IE
รายการหลัก
- Juri Aedla เจาะ Firefox ผ่านทางช่องโหว่ out-of-bounds read/write เพื่อรันคำสั่งโจมตีได้
- Mariusz Miynski เจาะ Firefox โดยใช้สองช่องโหว่ในการยกระดับสิทธิ์และข้ามผ่านระบบรักษาความปลอดภัย
- ทีม VUPEN เจาะ Adobe Flash ผ่านทางช่องโหว่ use-after-free พร้อมทั้งใช้ช่องโหว่ของ IE ในการข้ามผ่าน sandbox
- ทีม VUPEN เจาะ Adobe Reader ผ่านทาง heap overflow พร้อมทั้งหลบ sandbox เพื่อรันคำสั่งอันตราย
- ทีม VUPEN เจาะ IE ผ่านทาง use-after-free ทำให้สามารถหลบการทำงานของ sandbox ได้
- ทีม VUPEN เจาะ Firefox ผ่านทาง use-after-free เพื่อรันคำสั่งอันตรายได้
สรุปผลการแข่งขันวันแรกมีเงินรางวัลที่ถูกมอบไปทั้งหมด $400,000 ในการแข่งขันหลักและมีเงินรางวัลที่ถูกมอบเพื่อการกุศลทั้งหมด $82,500 ในการแข่งขัน Pwn4Fun
ผลการแข่งขันวันที่สอง
- ผู้ไม่ประสงค์ออกนามเจาะ Chrome พร้อมทั้งหลบการทำงานของ sandbox แต่มีการพบว่ามีการใช้ช่องโหว่บางส่วนในการแข่งขัน Pwnium ครั้งล่าสุดทำให้ผู้เข้าแข่งขันรายนี้รับเงินรางวัลเพียงแค่บางส่วนเท่านั้น
- Sebastian Apelt และ Andreas Schmidt เจาะ IE โดยใช้ 3 ช่องโหว่ได้แก่ช่องโหว่ของเคอร์เนลและอีกสองจาก use-after-free
- George Hotz เจาะ Firefox ผ่านทางช่องโหว่ out-of-bounds read/write
- Liang Chen จาก Keen Team เจาะ Safari ผ่านทาง heap overflow และข้ามผ่าน sandbox
- Liang Chen จาก Keen Team และ Zeguang Zhao จาก team509 เจาะ Adobe Flash ด้วย heap overflow และข้ามผ่าน sandbox
- ทีม VUPEN เจาะ Chrome ผ่านทาง use-after-free และหลบการทำงานของ sandbox
สรุปผลการแข่งขันวันที่สองมีเงินรางวัลที่ถูกมอบไปทั้งหมด $450,000 รวมสองวันทั้งหมด $850,000 (ไม่ได้นับรวมเงินที่ถูกบริจาคไป) และไม่มีผู้เข้าแข่งขันคนใดได้รางวัล Grand Prize ไปครับ
Comments
Hotz!!!
มันมาอีกแล้ววววว!!! (หวังว่าคงไม่เจาะ PS4 นะ)
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
สรุปผลการแข่งขันวันแรกมีเงินรางวัลที่ถูกมอบไปทั้งหมด $450,000
วันที่สองปะครับ
แก้ไขแล้วครับ ขอบคุณครับ
รางวัล Grand Prize คือรางวัลอะไรเหรอครับ
เงินรางวัลจำนวน $150,000 ครับ
มันมีความเป็นไปได้สองอย่างที่ทำให้ Grand Prize ไม่ออกคือ แข็งแกร่งจริง กับ ไม่มีคนสนใจ win8.1 เลย