Хакеры раскрыли сразу 29 уязвимостей нулевого дня. В том числе в Windows, Ubuntu, Firefox, Chrome и Safari

Завершился конкурс Pwn2Own 2024 в Ванкувере, где хакеры продемонстрировали 29 уникальных уязвимостей нулевого дня в популярных продуктах, таких как Windows, Ubuntu, Firefox, Chrome и Safari.

В результате мероприятия были взломаны:

• Windows 11: Команды HackInside и IBM X-Force показали эксплоиты для повышения привилегий.
• Ubuntu Linux: Команды STAR Labs SG и Theori продемонстрировали RCE-эксплоиты, а также повышение привилегий и побег из Docker.
  
• Firefox: Манфред Пол (Manfred Paul) дважды взломал Firefox, используя уязвимости нулевого дня: out-of-bounds запись (CVE-2024-29943) и побег из песочницы (CVE-2024-29944).
  
• Chrome и Edge: Манфред Пол (Manfred Paul) в первый день Pwn2Own 2024 продемонстрировал RCE-эксплоиты, используя проблему целочисленного переполнения и обход PAC.
  
• Tesla Model 3: Команда Synacktiv взломала ЭБУ Tesla, получив за это $200 000.
  

При этом еще в первый день Pwn2Own 2024 командой Synacktiv была взломана Tesla Model 3. Общий же призовой фонд мероприятия составил $1.3 млн. Главным победителем контеста стал Манфред Пол — он одержал победу, получив 25 очков Master of Pwn и $202 500.

А что дальше?

У производителей софта есть 90 дней на исправление уязвимостей. Так, Mozilla уже выпустила обновления для Firefox 124.0.1 и Firefox ESR 115.9.1. Полная информация о багах будет опубликована Trend Micro Zero Day Initiative после исправления.