Het afgelopen weekend vond de jaarlijkse Tianfu Cup in China plaats, een hackwedstrijd waar onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Het eindresultaat was een reeks zerodaylekken in onder andere Google Chrome, Mozilla Firefox, Apple Safari, iOS, VMware ESXi en Windows 10.
Onderzoekers 'Leecraso' en '__R0ng' demonstreerden een aanval tegen een volledig gepatchte versie van Google Chrome draaiend op Windows 10 2004, waarbij het duo erin slaagde om het onderliggende systeem over te nemen. De demonstratie werd beloond met 100.000 dollar.
Een aanval waarbij het onderzoekers 'dddong', Quhe en Liu Long lukte om Apple Safari en het onderliggende systeem te compromitteren leverde 60.000 dollar op. Ook Mozilla Firefox op Windows 10 2004 moest eraan geloven. Onderzoekers 'S0rryMybad' en 'B1aN' slaagden erin om via de browser remote code execution op het systeem te krijgen. Een aanval die met 40.000 dollar werd beloond
De twee grootste beloningen waren echter voor aanvallen op VMware ESXi en een volledig gepatchte iPhone 11 Pro met iOS 14. Eerst lieten onderzoekers Xiao Wei en 'VictorV' zien hoe ze via kwetsbaarheden in VMware ESXi het onderliggende Windows 10 2004-systeem konden overnemen. Daarna waren het onderzoekers 'S0rryMybad' en 'Brightiup' die remote code execution met een sandbox escape op een iPhone 11 Pro demonstreerden. Zowel de aanval op ESXi als de iPhone werd met 180.000 dollar beloond.
Voor geen van de gedemonstreerde kwetsbaarheden zijn op het moment beveiligingsupdates beschikbaar. Informatie over de beveiligingslekken is gedeeld met de betreffende ontwikkelaars en leveranciers, zodat die patches kunnen ontwikkelen. Wanneer de patches beschikbaar zijn zullen de details over de kwetsbaarheden mogelijk worden vrijgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.