В первый день Pwn2Own 2023 хакнули Windows 11, Tesla, Ubuntu и macOS

В первый день Pwn2Own 2023 хакнули Windows 11, Tesla, Ubuntu и macOS

В первый день Pwn2Own 2023 хакнули Windows 11, Tesla, Ubuntu и macOS

В первый день соревнования для хакеров Pwn2Own 2023, проходящего в Ванкувере, исследователям удалось создать рабочие эксплойты для уязвимостей в Tesla Model 3, Windows 11 и macOS. Приз составил 375 000 долларов и электромобиль Tesla Model 3.

Однако первым на Pwn2Own 2023 пробили Adobe Reader: один из специалистов использовал связку эксплойтов для шести дыр. Задача эксперта была задействовать неполные патчи, позволяющие выйти за пределы песочницы и обойти список запрещённых API. Этот вектор принёс исследователю $50 000.

Далее команда STAR Labs продемонстрировала 0-day эксплойт для брешей в Microsoft SharePoint, награда — $100 000. Эти же ребята взломали Ubuntu Desktop с помощью уже известного эксплойта, за это организаторы выдали им $15 000.

Компания Synacktiv получила $100 000 и Tesla Model 3 за успешную атаку вида TOCTOU (time-of-check to time-of-use) на автомобиль Tesla. Специалисты Synacktiv также использовали TOCTOU и уязвимость нулевого дня для повышения прав в macOS. За это им дали $40 000.

Oracle VirtualBox также успешно атаковали с помощью связки эксплойтов для переполнения буфера и OOB-чтения. Это принесло эксперту Qrious Security $40 000.

Windows  тоже не оставили без внимания: 0-day уязвимость, связанная с некорректной обработкой ввода, позволила повысить привилегии в системе.

Торвальдс охладил хайп: Rust и ИИ не спасут Linux от плохого кода

Линус Торвальдс снова разложил всё по полкам и без лишнего поклонения модным технологиям. На Open Source Summit India 2026 создатель Linux рассказал, что ядро развивается без блокбастерных релизов: не резкие скачки, а спокойное постоянное улучшение. Такой подход он предпочитает с тех пор, как появился Git.

По словам Торвальдса, ИИ начал находить интересные баги, и это заметно напрягает сообщество.

Проблема не только в реальных уязвимостях, но и в мусоре: LLM могут генерировать отчёты, которые выглядят правдоподобно, но оказываются галлюцинациями. Людям потом приходится тратить время, чтобы доказать, что ошибки на самом деле не существует.

Торвальдс признал, что сам почти не пишет код и теперь скорее руководит разработкой, чем программирует. Его работа — понимать общий смысл изменений, разбирать пулл-реквесты и следить, чтобы в ядро не прилетало что попало в последний момент. Технические баги, говорит он, чинить проще, чем человеческие конфликты.

Отдельно досталось Rust. Торвальдс считает язык интересным, но не верит, что он захватит мир. По его словам, Rust помогает избежать части простых ошибок, характерных для C, но не спасает от плохой логики. Если программист написал неправильный код, язык за него думать не начнёт. А в смешанных C/Rust-проектах гарантии Rust работают только там, где код действительно остаётся внутри Rust-модулей.

ИИ Торвальдс тоже не списывает со счетов. Он использует LLM для собственных небольших проектов и прототипов, но для исправлений уровня ядра Linux, по его мнению, такие инструменты пока недостаточно надёжны. Если ИИ нашёл баг, мало просто закинуть отчёт разработчикам, нужен человек, который проверит проблему, предложит патч и доведёт обсуждение до результата.

RSS: Новости на портале Anti-Malware.ru