Участники Pwn2Own 2020 взломали Oracle VirtualBox, Adobe Reader и Windows

Во второй день популярного хакерского конкурса Pwn2Own 2020 участники заработали в общей сложности $90 тыс. за эксплуатацию уязвимостей в Oracle VirtualBox, Adobe Reader и Windows.

Один из участников команды STAR Labs получил $40 тыс. за успешную демонстрацию эксплоита VirtualBox, позволившего осуществить «побег из виртуальной машины» (выход из гостевых операционных систем) и выполнить произвольный код. Эксплоит задействовал уязвимости чтения за пределами буфера и неинициализированных переменных.

Амат Кама (Amat Cama) и Ричард Чжу (Richard Zhu) из команды Fluoroacetate заработали $50 тыс. за демонстрацию взлома системы путем эксплуатации уязвимости использования памяти после освобождения (use-after-free) в программе Adobe Reader и ядре Windows.

Команда Synacktiv попыталась взломать программное обеспечение виртуализации VMware Workstation, но попытка оказалась безуспешной. В конце дня Лукас Леонг (Lucas Leong) из Zero Day Initiative (организатор Pwn2Own) провел специальную демонстрацию — «побег из виртуальной машины» в VirtualBox.

Напомним, в первый день мероприятия исследователи заработали в общей сложности $180 тыс. за взлом Windows 10, Ubuntu Desktop, Safari и macOS. Pwn2Own обычно проходит в рамках конференции CanSecWest в Ванкувере (Канада), и участники должны принимать участие в них лично. Однако в связи с пандемией коронавируса Zero Day Initiative (ZDI) принял решение впервые за всю историю Pwn2Own провести соревнования в режиме online.