Ежегодно инициатива Zero Day Initiative проводит конкурс хакинга «Pwn2Own», где исследователи в области безопасности могут заработать деньги за обнаружение серьезных уязвимостей в основных платформах, таких как Windows и macOS.

Виртуальное мероприятие Pwn2Own 2021 началось на этой неделе и включало 23 отдельных попытки взлома на 10 различных продуктах, включая веб-браузеры, виртуализацию, серверы и многое другое. Это трехдневное мероприятие, которое длится несколько часов в день, в этом году транслировалось в прямом эфире на YouTube.

Продукты Apple не были сильно представлены на Pwn2Own 2021, но в первый день Джек Дейтс из RET2 Systems выполнил эксплойт нулевого дня от Safari до ядра и заработал 100 000 долларов. Он использовал целочисленное переполнение в Safari и запись за пределами буфера для выполнения кода на уровне ядра, как было продемонстрировано в твите ниже.

Другие попытки взлома во время мероприятия Pwn2Own были нацелены на Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome и Microsoft Edge.

Серьезный недостаток Zoom был продемонстрирован голландскими исследователями Дааном Кёпером и Тейсом Алькемаде, например. Дуэт использовал три уязвимости, чтобы получить полный контроль над целевым ПК с помощью приложения Zoom без какого-либо взаимодействия с пользователем.

Участники Pwn2Own получили более 1,2 миллиона долларов в качестве вознаграждения за обнаруженные ошибки. Pwn2Own предоставляет поставщикам, таким как Apple, 90 дней для исправления обнаруженных уязвимостей, поэтому мы можем ожидать, что эта ошибка будет устранена в обновлении в не столь отдаленном будущем.