Tags:
Node Thumbnail

กลับมาอีกครั้งกับงาน Pwn2Own ประจำปี 2014 ครับ ต้องขออภัยด้วยที่ในปีนี้ผมไม่ได้เขียนแยกเป็นข่าวแต่ละข่าวแต่จับทั้งหมดมารวมกันแทน สำหรับการแข่งขันในปีนี้นั้นจัดขึ้นในวันที่ 12-13 มีนาคมที่ผ่านมาพร้อมกับงานประชุมด้านความปลอดภัย CanSecWest Vancouver 2014

สำหรับกฏการแข่งขันในปีนี้ก็ยังคงเป็นเช่นเดิม โดยมีการแบ่งออกเป็นสามประเภทคือเบราว์เซอร์, ปลั๊กอินและ Grand Prize ซึ่งเป็นการเจาะผ่านช่องโหว่ของ Windows 8.1 ที่มีฟังก์ชัน Enhanced Mitigation Experience Toolkit (EMT) เงินรางวัลสำหรับผู้ที่สามารถเจาะระบบในแต่ละรายการสามารถดูได้จากที่นี่ครับ

นอกเหนือจากการแข่งขัน Pwn2Own แล้วทาง ZDI ผู้จัดงานร่วมกับสปอนเซอร์ทั้ง HP และ Google ได้ร่วมกันจัดการแข่งขัน Pwn4Fun โดยให้พนักงานทั้งจากสองบริษัทเข้าร่วมการแข่งขัน Pwn2Own และถ้าหากบริษัทใดชนะในการแข่งขันก็จะมีการมอบเงินรางวัล 50% เพื่อบริจาคให้กับ Canadian Red Cross ด้วย

ผลการแข่งขันวันแรก

รายการ Pwn4Fun

  • ทีม Google เจาะ Safari บน Mac OS X เพื่อรันแอพพลิเคชันในสิทธิ์ของผู้ดูแลระบบได้สำเร็จ
  • ทีม ZDI จาก HP ใช้สองช่องโหว่ในการโจมตีและหลบ sandbox ของ IE

รายการหลัก

  • Juri Aedla เจาะ Firefox ผ่านทางช่องโหว่ out-of-bounds read/write เพื่อรันคำสั่งโจมตีได้
  • Mariusz Miynski เจาะ Firefox โดยใช้สองช่องโหว่ในการยกระดับสิทธิ์และข้ามผ่านระบบรักษาความปลอดภัย
  • ทีม VUPEN เจาะ Adobe Flash ผ่านทางช่องโหว่ use-after-free พร้อมทั้งใช้ช่องโหว่ของ IE ในการข้ามผ่าน sandbox
  • ทีม VUPEN เจาะ Adobe Reader ผ่านทาง heap overflow พร้อมทั้งหลบ sandbox เพื่อรันคำสั่งอันตราย
  • ทีม VUPEN เจาะ IE ผ่านทาง use-after-free ทำให้สามารถหลบการทำงานของ sandbox ได้
  • ทีม VUPEN เจาะ Firefox ผ่านทาง use-after-free เพื่อรันคำสั่งอันตรายได้

สรุปผลการแข่งขันวันแรกมีเงินรางวัลที่ถูกมอบไปทั้งหมด $400,000 ในการแข่งขันหลักและมีเงินรางวัลที่ถูกมอบเพื่อการกุศลทั้งหมด $82,500 ในการแข่งขัน Pwn4Fun

ผลการแข่งขันวันที่สอง

  • ผู้ไม่ประสงค์ออกนามเจาะ Chrome พร้อมทั้งหลบการทำงานของ sandbox แต่มีการพบว่ามีการใช้ช่องโหว่บางส่วนในการแข่งขัน Pwnium ครั้งล่าสุดทำให้ผู้เข้าแข่งขันรายนี้รับเงินรางวัลเพียงแค่บางส่วนเท่านั้น
  • Sebastian Apelt และ Andreas Schmidt เจาะ IE โดยใช้ 3 ช่องโหว่ได้แก่ช่องโหว่ของเคอร์เนลและอีกสองจาก use-after-free
  • George Hotz เจาะ Firefox ผ่านทางช่องโหว่ out-of-bounds read/write
  • Liang Chen จาก Keen Team เจาะ Safari ผ่านทาง heap overflow และข้ามผ่าน sandbox
  • Liang Chen จาก Keen Team และ Zeguang Zhao จาก team509 เจาะ Adobe Flash ด้วย heap overflow และข้ามผ่าน sandbox
  • ทีม VUPEN เจาะ Chrome ผ่านทาง use-after-free และหลบการทำงานของ sandbox

สรุปผลการแข่งขันวันที่สองมีเงินรางวัลที่ถูกมอบไปทั้งหมด $450,000 รวมสองวันทั้งหมด $850,000 (ไม่ได้นับรวมเงินที่ถูกบริจาคไป) และไม่มีผู้เข้าแข่งขันคนใดได้รางวัล Grand Prize ไปครับ

ที่มา - Pwn2Own (1, 2, 3, 4)

Get latest news from Blognone

Comments

By: caznova
AndroidRed HatUbuntuWindows
on 15 March 2014 - 15:52 #687828
caznova's picture

Hotz!!!

By: NoppawanConan
ContributoriPhoneAndroidWindows
on 15 March 2014 - 17:30 #687849 Reply to:687828
NoppawanConan's picture

มันมาอีกแล้ววววว!!! (หวังว่าคงไม่เจาะ PS4 นะ)


แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที

By: oatsmart
iPhoneWindows PhoneAndroidWindows
on 15 March 2014 - 19:30 #687871
oatsmart's picture

สรุปผลการแข่งขันวันแรกมีเงินรางวัลที่ถูกมอบไปทั้งหมด $450,000

วันที่สองปะครับ

By: pe3z
Writer
on 15 March 2014 - 21:34 #687887 Reply to:687871

แก้ไขแล้วครับ ขอบคุณครับ

By: pd2002 on 15 March 2014 - 20:25 #687879

รางวัล Grand Prize คือรางวัลอะไรเหรอครับ

By: pe3z
Writer
on 15 March 2014 - 21:34 #687888 Reply to:687879

เงินรางวัลจำนวน $150,000 ครับ

By: Eagle Blue Eyes
ContributorWindows PhoneAndroidSymbian
on 16 March 2014 - 03:47 #687939
Eagle Blue Eyes's picture

มันมีความเป็นไปได้สองอย่างที่ทำให้ Grand Prize ไม่ออกคือ แข็งแกร่งจริง กับ ไม่มีคนสนใจ win8.1 เลย