Результаты первого дня Pwn2Own Ванкувер 2024

Pwn2Own Vancouver 2024 начался с двух дней исследований, фокусирующихся на уязвимостях в браузерах, SharePoint и Tesla. В первый день было присуждено в общей сложности $732,500 за 19 уникальных эксплоитов нулевого дня. Абдул-Азиз Харир успешно эксплуатировал Adobe Reader с помощью комбинации обхода ограничений API и инъекции команд, заработав $50,000. Команда DEVCORE Research Team достигла локального повышения привилегий (LPE) в Windows 11 благодаря race condition TOCTOU, заработав $30,000. Сынхюн Ли из KAIST Hacking Lab эксплуатировал Google Chrome с помощью одного Use-After-Free (UAF) бага, заработав $60,000. Гвангун Чжун и Джуно Ли из Theori объединили несколько уязвимостей, чтобы выйти из VMware Workstation и выполнить код на хост-ОС Windows, выиграв $130,000. Команда DEVCORE также успешно эксплуатировала Ubuntu Linux, заработав $10,000, несмотря на то, что баг уже был известен. Бруно ПУЖОС и Корентин БАЙЕТ из REverse Tactics вышли из гостевой ОС Oracle VirtualBox и выполнили код на хост-ОС, заработав $90,000. Synacktiv эксплуатировала ECU Tesla с помощью одного переполнения целочисленного типа, выиграв $200,000, Tesla Model 3 и 20 очков Master of Pwn. Кайл ЗЕНГ из ASU SEFCOM повысил привилегии в Ubuntu Linux, используя race condition, заработав $20,000. Коди ГАЛЛАГЕР эксплуатировал Oracle VirtualBox с помощью Out-of-Bounds Write бага, заработав $20,000. Манфред ПАУЛЬ успешно эксплуатировал Apple Safari с помощью integer underflow и PAC bypass, заработав $60,000. Дунгдм из Viettel Cyber Security эксплуатировал Oracle VirtualBox, используя race condition, заработав $20,000. Манфред ПАУЛЬ также выполнил двойной тап-эксплоит на браузерах Chrome и Edge, заработав $42,500. Соревнование продолжится завтра, и Synacktiv лидирует в рейтинге Master of Pwn.