https://metrika.yandex.ru/dashboard?id=69437956

Обьявлены победители Pwnie Awards 2020.


В рамках конференции Black Hat Europe по традиции были определены победители премии Pwnie Awards 2020. Обычно итоги подводят летом, на конференции Black Hat USA, но в этом году вручение Pwnie Awards впервые проходило в виртуальном формате, а также было отложено до конца года. Как не сложно догадаться, произошло это из-за пандемии коронавируса.

Напомню, что это своеобразный аналог «Оскара» в области информационной безопасности: каждый год профессионалы в области ИБ выдвигают номинантов, а затем голосуют за лучших и худших в отрасли. Специалисты выбирают лучшие и наиболее оригинальные уязвимости года, а также отмечают специальной издевательской наградой худшие реакции вендоров на инциденты, а также эпические фейлы, из-за которых пользователи в итоге подверглись риску.


Итоги 2020 года, по версии жюри Pwnie Awards, таковы:

  • Лучший баг на стороне сервера: BraveStarr— RCE в демоне Telnet на серверах Fedora 31.

  • Лучший баг на стороне клиента: обнаруженная командой Google Project Zero MMS-атака на телефоны Samsung, работающая без единого клика.

  • Лучший баг повышения привилегий: Checkm8 — уязвимость, позволившая осуществить полный джейлбрейк любых устройств Apple с чипами от A5 до A11, выпущенными между 2011 и 2017 годами.

  • Лучшая криптографическая атака: Zerologon — баг в протоколе аутентификации Microsoft Netlogon, использование которого заключается в добавлении нулей в определенные аутентификационные параметры.

  • Самое инновационное исследование: TRRespass — обход защиты TRR в современной RAM для выполнения атак Rowhammer.

  • Самая жалкая реакция вендора: Дэниел Дж. Бернштейн — за то, что не справился с багом в далеком 2005 году.

  • Самое недооцененное исследование: Габриэль Негрейре Барбоса, Родриго Рубира Бранко (BSDaemon), Джо Чихуле (Intel) за обнаружение CVE-2019-0151 и CVE-2019-0152 в Intel System Management Mode и Trusted Execution Technology.

  • Самый эпический фейл:Microsoft в связи с проблемой CurveBall, суть которой проявляется во время валидации сертификатов Elliptic Curve Cryptography (ECC), позволяя легко подделывать HTTPS-сайты и легитимные приложения.

  • Самое эпическое достижение: Гуан Гон, известный китайский багхантер, за обнаружение CVE-2019-5870, CVE-2019-5877, CVE-2019-10567, то есть трех ошибок, которые позволяли удаленно захватить устройства Android Pixel.

© 2019 Твой хакер hakinfo.com                                  hakinfo@bk.ru