هك شدن Safari، VirtualBox و VMware در روز اول مسابقات Pwn2Own 2019
در روز اول مسابقات، شركتكنندگان توانستند با موفقيت مرورگر سافاري اپل، مجازيساز VirtualBox اوراكل و همچنين VMware Workstation را با موفقيت هك كنند و در مجموع ۲۴۰هزار دلار جايزه نقدي دريافت كنند. سه برنامه مهم فوق را تيم Fluoroacetate موفق به كشف آسيبپذيريهاي آنها شد و با موفقيت اين آسيبپذيريها را Exploit كرد و ۱۶۰هزار دلار جايزه را با خود به خانه برد. در ابتدا اين مرورگر سافاري اپل بود كه توسط آسيبپذيري از نوع سرريز پُشته روي JIT امكان دور زدن Sandbox آن براي شركتكنندگان فراهم شد و با موفقيت اين آسيبپذيري Exploit شد. در مرحلهي بعد اين VirtualBox اوراكل بود كه توسط آسيبپذيري معروف به Escape روي ماشينهاي مجازيسازي، امكان اجراي برنامه ماشينحساب روي Host اصلي كه ماشينمجازي در آن ساخته شده است، براي شركتكنندگان فراهم شد و با موفقيت Exploit آن اجرا شد. سومين برنامهاي كه مورد هدف قرار گرفت، مجازيساز VMware Workstation بود كه با استفاده از ساختار Race Condition باعث شد كه دسترسي غيرمجاز از داخل ماشينمجازي، باعث اجراي كُد دلخواه روي Host OS يا همان سيستمعامل ميزبان اصلي شود كه Exploit شدن موفقيتآميز اين آسيبپذيري، جايزه ۷۰هزار دلاري را براي كشفكنندگان آن به ارمغان آورد.
دركنار تيم Fluoroacetate، شركتكنندگان ديگري همچون anhdaden از تيم STAR Labs هم بودند كه با كشف آسيبپذيري ديگري مشابه آسيبپذيري Escape روي VirtualBox اوراكل، توانايي گرفتن دسترسي از سيستمعامل پايه توسط ماشين مجازي را ممكن ساختند و جايزه ۳۵ هزار دلاري را بهدست آوردند. همچنين تيمهاي phoenhex و qwerty تمركز خود را تنها روي مرورگر سافاري اپل گذاشتند و با كشف آسيبپذيري ديگري از نوع Privilege Escalation روي هستهي اصلي مرورگر، امكان گرفتن دسترسي به كل سيستمعامل ميزبان را فراهم آوردند و با آمادهسازي يك Exploit و اجراي موفقيتآميز آن، جايزه ۴۵ هزار دلاري را از آن خود كردند. البته بايد ذكر كرد كه اپل قبلاً درباره يكي از اين آسيبپذيريها بدون عنوان كردن توضيحات تكميلي، گزارشي را ارائه كرده بود و امكان گرفتن دسترسي از سيستمعامل macOS توسط حمله به مرورگر Safari را اطلاع داده بود.
هم انديشي ها