- Локальное повышение привилегий в Ubuntu Desktop через эксплуатацию уязвимости в ядре Linux, связанной с некорректной проверкой входных значений (приз 30 тыс. долларов);
- Демонстрация выхода из гостевого окружения в VirtualBox и выполнения кода с правами гипервизора, эксплуатируя две уязвимости — возможность прочитать данные из области вне выделенного буфера и ошибку при работе с неинициализированными переменными (приз 40 тыс. долларов). Вне конкурса представители Zero Day Initiative также продемонстрировали ещё один взлом VirtualBox, позволяющий через манипуляции в гостевом окружении получить доступ к хост-системе;
- Взлом Safari с повышением привилегий до уровня ядра macOS и запуском калькулятора с правами root. Для эксплуатации использована цепочка из 6 ошибок (приз 70 тыс. долларов);
- Две демонстрации локального повышения привилегий в Windows через эксплуатацию уязвимостей, приводящих к обращению к уже освобождённой области памяти (два приза по 40 тыс. долларов);
- Получение доступа администратора в Windows при открытии специально оформленного PDF-документа в Adobe Reader. При атаке задействованы уязвимости в Acrobat и в ядре Windows, связанные с обращением к уже освобождённым областям памяти (приз 50 тыс. долларов).
Остались невостребованными номинации за взлом Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office и Microsoft Windows RDP. Была предпринята попытка взлома VMware Workstation, но она не увенчалась успехом. Как и в прошлом году в призовые номинации не вошли взломы большинства открытых проектов (nginx, OpenSSL, Apache httpd).
Отдельно можно отметить тему взлома информационных систем автомобиля Tesla. На соревновании не было предпринято попыток взлома Tesla, но отдельно появилась информация о выявлении DoS-уязвимости (CVE-2020-10558) в Tesla Model 3, позволяющей отключить уведомления от автопилота и нарушить работу таких компонентов, как спидометр, браузер, кондиционер, система навигации и т.п.
Источник: http://www.opennet.ru/opennews/art.shtml?num=52577