本周在温哥华举行的为期三天的 Pwn2Own 2022 黑客大赛已落下帷幕。

Pwn2Own 是全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下 TippingPoint 的项目组 ZDI（Zero Day Initiative）主办，参赛者面临的挑战是从广泛使用的软件和移动设备中找出未发现的漏洞。科技公司会对比赛提供支持，并通过黑客的攻击挑战来完善自身产品。

在此次大赛中，微软、Ubuntu、苹果、甲骨文和特斯拉产品的多个漏洞被持续发现并被利用。

Ubuntu 被拿下三次：

• Sea Security (security.sea.com) Orca 团队发掘了 Ubuntu 桌面的两个漏洞：越界写入 (OOBW) 和 Use-After-Free (UAF)，从而进行了提权，获得 4 万美元奖金。这种类型的漏洞通常是由于应用程序管理内存不善而引起，通常被用来攻击和利用浏览器。

• 美国西北大学 TUTELARY 团队也成功演示了一个针对 Ubuntu 桌面进行提权的 Use After Free 漏洞，获得 4 万美元奖金。

• STAR Labs 安全研究员 Billy Jheng Bing-Jhong 比赛第三天也在 Ubuntu 桌面上成功演示了基于 Use-After-Free 的漏洞利用，并获得 4 万美元奖金。

除了 Ubuntu，特斯拉的漏洞在此次大赛中也被不少黑客看上了。Synacktiv 的 David BERARD 和 Vincent DEHORS 通过在 Telsa Model 3 信息娱乐系统中发现的 2 个独特漏洞 (Double-Free & OOBW)，赚了 75,000 美元奖金。虽然他们没有直接赢得这辆车，但他们赚到的钱足够自己去买一辆。

此外，虽然 @Jedar_LZ 无法在规定时间内成功攻击特斯拉，但对于他发现的漏洞，主办方也从参赛者手中购买了回来，并披露给特斯拉。

当然，微软家的产品也备受黑客“青睐”，诸如 Teams 和 Windows 11 都被挖出了多个严重的新漏洞，Firefox、Safari 和 Virtual Box 也不能幸免。这些厂商有 90 天的时间对比赛期间黑客披露的所有漏洞进行修复。

最终排名：

主办方称，他们在本次大赛中为 25 个独一无二的 0day 漏洞奖励了共计 1,155,000 美元奖金。

(文/开源中国)