你并不了解真实的台湾

发生在上海,出现挤兑潮?

三亚不能批评吗? | 舆论手札

H游戏只知道《尾行》?弱爆了!丨BB IN

彻底失望,气得我一夜睡不着觉,从今天开始我支持武统

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

Pwn2Own 2021奥斯汀黑客大赛公布类别、目标及奖金

ZDI 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



ZDI 发布文章称,2021年 Pwn2Own 秋季黑客大赛将于当地时间2021年11月2日至4日在大赛总部美国德克萨斯州奥斯汀举办。大赛将反映当前的家庭办公环境,扩充路由器类别并增加打印机类别,共计22台设备,奖金池超过50万美元。


Pwn2Own 秋季黑客大赛关注的一贯是客户设备,始于2012年,当时只包含移动手机类别。次年,大赛在东京举办,包含 PacSec 应用安全大会;数年后包括电视、可穿戴设备和智能扬声器;去年,大赛在多伦多举办并增加网络附加存储 (NAS) 设备;而今年将增加路由器和打印机设备。

ZDI 指出,本届大赛仍然支持远程参与,仍然通过随机抽签决定第一天的比赛次序并在后续按照该顺序竞赛。本届大赛的活动合作伙伴是西部数据,Synology 是共同赞助伙伴,这两家厂商的设备是安全研究员的主要目标。


移动手机类


Pwn2Own 奥斯汀大赛(最初名为“Pwn2Own移动大赛”)的核心关注点在于手机。和往常一样,这些手机将运行各自的最新版操作系统。竞赛选手必须通过在默认浏览器中浏览 web 内容的方式攻陷设备,或者通过与短距离协议(NFC、WiFi或蓝牙)的通信攻陷设备。该类别的目标设备、奖金及积分点如下。


该类别还包括了额外奖金。如果选手的 exploit payload 以内核级别权限执行,则可获得额外奖金5万美元以及5个额外积分点。也就是说内核级别权限的完整的 iPhone 或 Pixel 浏览器 exploit 将获得20万美元的奖金。


打印机类


大赛选手必须从选手设备对目标的被暴露网络服务发动攻击。大赛囊括了近期最热门的三款 LaserJet 打印机。



NAS 类别


这是Pwn2Own 大赛第二次包括 NAS 设备,Synology 和西部数据提供了最新产品。大赛选手必须在大赛网络从选手笔记本攻击目标的被暴露网络服务。



外部存储设备类别


虽然外部存储设备不如NAS服务器复杂,但也是备受攻击者青睐。今年的大赛仅包含一个单独设备。大赛选手必须攻击目标的被暴露界面并引发任意代码执行后果。



家庭自动化类


智能扬声器在我们和音乐、新闻等交互中仍然占据重要地位,本次大赛包括五个目标:


路由器类


此前仅是展示 LED 灯亮等,而这次的路由器类别增加了更复杂的内容。选手必须在大赛网络内从选手设备攻击目标的被暴露网络服务。



电视类别


当前很少见不设置 web 浏览器和网络应用程序的电视机,本次大赛包括两个设备:



Master of Pwn


没有 Master of Pwn (破解冠军)的Pwn2Own 大赛是不完整的,它说明了大赛总冠军的重要性。大赛冠军将获得华丽奖杯、一款可穿戴设备以及6.5万分的ZDI积分点。大赛将在东部时间2021年10月29日下午5点停止注册。




推荐阅读
微软7月修复117个漏洞,其中9个为0day,2个是Pwn2Own 漏洞
Pwn2Own 2021温哥华黑客大赛落幕  3个团队并列 Master of Pwn
Pwn2Own 2021温哥华黑客大赛的目标和赏金公布
2020 Pwn2Own东京大赛落幕,Master of Pwn 诞生




原文链接

https://www.zerodayinitiative.com/blog/2021/8/11/pwn2own-austin-2021-phones-printers-nas-and-more


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~


文章有问题?点此查看未经处理的缓存