आज Pwn2OwnVancouver2024 का पहला दिन है, जहां प्रतियोगियों ने $732,500 और एक टेस्ला मॉडल 3 कार जीतने के लिए विंडोज 11, टेस्ला, उबंटू लिनक्स और अन्य उपकरणों और सॉफ्टवेयर में 19 शून्य-दिन की कमजोरियों का प्रदर्शन किया।

प्रतियोगिता की शुरुआत में, HaboobSA के अब्दुल अजीज हरीरी ने Adobe Reader भेद्यता का फायदा उठाकर, API प्रतिबंध बाईपास और macOS पर कोड निष्पादित करने के लिए कमांड इंजेक्शन भेद्यता का संयोजन करके $50,000 जीते।

सिनाक्टिव ने वाहन (वीईएच) कैन बस नियंत्रण फ़ंक्शन के साथ टेस्ला ईसीयू पर 30 सेकंड के भीतर आक्रमण करने के लिए पूर्णांक अतिप्रवाह फ़ंक्शन का उपयोग किया, टेस्ला मॉडल 3 और $ 200,000 का पुरस्कार जीता।

थियोरी सुरक्षा शोधकर्ताओं ग्वांगुन जंग और जुनोह ली ने वीएमवेयर वर्कस्टेशन वर्चुअल मशीन से बचने और होस्ट विंडोज ऑपरेटिंग सिस्टम पर सिस्टम के रूप में कोड निष्पादित करने के लिए एक अप्रारंभीकृत परिवर्तनीय भेद्यता, एक यूएएफ भेद्यता और एक ढेर-आधारित बफर ओवरफ्लो को लक्षित करने वाली श्रृंखला का शोषण करके $ 130,000 कमाए।

रिवर्सटैक्टिक्स के ब्रूनोपुजोस और कोरेंटिनबायेट ने वर्चुअल मशीन से बचने और सिस्टम में विशेषाधिकारों को बढ़ाने के लिए दो OracleVirtualBox कमजोरियों और एक Windows UAF का फायदा उठाया और $90,000 कमाए।

प्रतियोगिता के पहले दिन के अंत में, मैनफ़्रेड पॉल ने Apple के Safari, Google Chrome और Microsoft Edge वेब ब्राउज़र को हैक किया और $102,500 जीतने के लिए तीन शून्य-दिन की कमजोरियों का फायदा उठाया।


Pwn2Own के पहले दिन के अन्य प्रयासों में शामिल हैं:

  • DEVCORE अनुसंधान टीम ने पूरी तरह से पैच किए गए विंडोज 11 सिस्टम पर सिस्टम के विशेषाधिकारों को बढ़ाने के लिए TOCTAU दौड़ की स्थिति सहित दो कमजोरियों का फायदा उठाया, जिसके परिणामस्वरूप $ 30,000 का इनाम मिला। उबंटू लिनक्स में ज्ञात स्थानीय विशेषाधिकार वृद्धि (एलपीई) भेद्यता का प्रदर्शन करने के लिए उन्हें $10,000 का इनाम भी मिला।

  • KAIST हैकिंग लैब के सेउंगह्युन ली ने Google Chrome ब्राउज़र को हैक करने के लिए यूज़ आफ्टर फ्री (UAF) भेद्यता का फायदा उठाया और $60,000 का लाभ कमाया।

  • ASUSEFCOM के काइल ज़ेंग ने प्रतिस्पर्धा की स्थितियों के माध्यम से उबंटू लिनक्स को लक्षित करते हुए एक और एलपीई कारनामा प्रदर्शित किया, जिससे $20,000 की कमाई हुई।

  • कोडी गैलाघेर ने OracleVirtualBox आउट-ऑफ-बाउंड्स (OOB) राइट जीरो-डे भेद्यता के लिए 20,000 डॉलर भी जीते।

  • वियतटेल साइबर सुरक्षा फर्म के डंगडीएम ने 20,000 डॉलर में ओरेकल के वर्चुअलबॉक्स में सेंध लगाने के लिए दो भेद्यता श्रृंखलाओं का भी फायदा उठाया।

  • Pwn2Own द्वारा शून्य-दिन की भेद्यता प्रदर्शित करने के बाद, विक्रेता के पास ट्रेंड माइक्रो के शून्य-दिन कार्यक्रम द्वारा सार्वजनिक रूप से प्रकट होने से पहले सभी रिपोर्ट की गई कमजोरियों के लिए सुरक्षा पैच बनाने और जारी करने के लिए 90 दिन का समय होता है।


    Pwn2Own वैंकूवर 2024 रैंकिंग (ZDI)

    Pwn2OwnVancouver2024 के दौरान, सुरक्षा शोधकर्ता वेब ब्राउज़र, क्लाउड नेटिव/कंटेनर, वर्चुअलाइजेशन, एंटरप्राइज़ एप्लिकेशन, सर्वर, विशेषाधिकार वृद्धि (ईओपी), एंटरप्राइज़ संचार और ऑटोमोटिव जैसी श्रेणियों में पूरी तरह से पैच किए गए उत्पादों पर शोध करेंगे।

    अगले दिन, Pwn2Own प्रतियोगी विंडोज 11, वीएमवेयर वर्कस्टेशन, ओरेकल वर्चुअल बॉक्स, मोज़िला फ़ायरफ़ॉक्स, उबंटू डेस्कटॉप, गूगल क्रोम, डॉकर डेस्कटॉप और माइक्रोसॉफ्ट एज में शून्य-दिन की कमजोरियों का फायदा उठाने की कोशिश करेंगे।

    दो दिनों की हैकिंग प्रतियोगिता के बाद, हैकर्स $1.3 मिलियन से अधिक के पुरस्कार जीत सकते हैं, जिसमें टेस्ला मॉडल 3 कार भी शामिल है। अभी, टेस्ला को हैक करने का शीर्ष इनाम 150,000 डॉलर और कार है।

    जो प्रतियोगी बिना किसी रूट प्रतिबंध के टेस्ला के स्वायत्त ड्राइविंग सिस्टम में पूर्ण रिमोट कंट्रोल हासिल कर सकते हैं, वे $500,000 तक का पुरस्कार और एक टेस्ला मॉडल 3 कार जीत सकते हैं।

    वे विंडोज़ कर्नेल भेद्यता का फायदा उठाने के लिए $300,000 के इनाम के लिए भी पात्र हैं, क्योंकि वे हाइपर-वी क्लाइंट से होस्ट तक सफलतापूर्वक भागने और होस्ट ऑपरेटिंग सिस्टम पर विशेषाधिकार वृद्धि करने में सक्षम थे।

    पिछले साल वैंकूवर Pwn2Own प्रतियोगिता में, जिसे Synacktiv टीम ने जीता था, हैकर्स ने विंडोज़ 11, माइक्रोसॉफ्ट टीम्स, माइक्रोसॉफ्ट शेयरपॉइंट, मैकओएस, उबंटू डेस्कटॉप, वीएमवेयर वर्कस्टेशन, ओरेकल वर्चुअलबॉक्स और टेस्ला मॉडल 3 में 27 शून्य-दिनों (और कुछ बग टकराव) को हैक करके 1,035,000 डॉलर और एक टेस्ला कार प्राप्त की।

    Synactiv ने इस साल जनवरी में पहले Pwn2Own ऑटोमोटिव सम्मेलन में टेस्ला मॉडेम और इंफोटेनमेंट सिस्टम को भी हैक किया, तीन शून्य-दिन की भेद्यता श्रृंखलाओं के माध्यम से टेस्ला मॉडेम तक रूट पहुंच प्राप्त की, और दो शून्य-दिन की भेद्यता श्रृंखलाओं के माध्यम से इंफोटेनमेंट सिस्टम के सैंडबॉक्स एस्केप का प्रदर्शन किया।