摘要: 据外媒报道,两位荷兰白帽安全专家参加了一年一度的电脑黑客大赛Pwn2Own,成功找到了Zoom的远程代码执行(RCE)漏洞,并且获得了20万美元的奖励。Pwn2Own Pwn2Own是 "零日倡议 "组织的一项高规格活动,挑战黑客在常用软件和移动设备中发现...
据外媒报道,两位荷兰白帽安全专家参加了一年一度的电脑黑客大赛Pwn2Own,成功找到了Zoom的远程代码执行(RCE)漏洞,并且获得了20万美元的奖励。
Pwn2Own
Pwn2Own是 "零日倡议 "组织的一项高规格活动,挑战黑客在常用软件和移动设备中发现新的严重漏洞。举办该活动的目的是为了证明流行的软件和设备都有缺陷和漏洞,并为漏洞的地下交易提供一个平衡点。
"目标 "自愿提供自己的软件和设备,并对攻击成功者给予奖励。粉丝们会看到一场黑客奇观,成功的黑客会得到嘉奖和不菲的现金(在这种情况下,奖励高达20万美元),而厂商们则会找到令人讨厌的漏洞。
Pwn2Own 2021从4月6日至4月8日举行。今年活动的重点是在家工作(WFH)时使用的软件和设备,包括Microsoft Teams和Zoom,原因显而易见。
白帽子
受雇于网络安全公司Computest的Keuper和Alkemade在Pwn2wn活动的第二天结合三个漏洞接管了一个远程系统。这些漏洞不需要受害者的互动。他们只需要在一次Zoom通话中。
漏洞
本着负责任的披露态度,该方法的全部细节一直处于保密状态。我们知道的是,这是远程代码执行(RCE)漏洞:作为一类软件安全漏洞,允许恶意行为者通过局域网、广域网或互联网在远程机器上执行他们选择的代码。
该方法在Windows和Mac版本的Zoom软件上有效,但不影响浏览器版本。目前还不清楚iOS-和Android-app是否存在漏洞,因为Keuper和Alkemade并没有对这些进行研究。
稿源:cnBeta.COM