Изследователите на сигурността хакнаха Microsoft Edge и Mozilla Firefox правилно и спечелиха парична награда от $ 270 000 на Събитие за хакване на Pwn2Own.
The Браузърът Firefox 66 беше обявен на 19 март, така че компанията позволи на приятелски хакери да го атакуват, за да открият всякакви потенциални уязвимости в сигурността.
Изследователите идентифицираха два проблема в уеб браузъра. Още на следващия ден компанията реши да пусне кръпка, за да поправи и двете в актуализацията на Firefox 66.0.1.
Тези, които не са наясно Pwn2Own, това е основно ежегодно състезание по хакване. Той предоставя чудесна възможност на изследователите по сигурността, така че те да могат да демонстрират нови грешки от нулев ден.
В замяна на усилията им, Zend Day Initiative (ZDI) на Trend Micro ги възнаграждава с красива сума.
The @ флуороацетат duo го прави отново. Те използваха объркване на типа в #Ръб, край, състезателно състояние в ядрото, след което се вписва извън границите #VMware да преминете от браузър във виртуален клиент към изпълнение на код на хост ОС. Те печелят $ 130 000 плюс 13 точки на Master of Pwn.
pic.twitter.com/mD13kozJLv- Инициатива за нулев ден (@thezdi) 21 март 2019 г.
Pwn2Own Roundup
Изследователите, които демонстрираха ново уязвимости в работната станция Oracle VirtualBox, Apple Safari и VMware бяха наградени с $ 240 000 в първия ден на Pwn2Own 2019.
Придвижвайки се към втория ден, ZDI присъди сума от 270 000 долара на онези изследователи, които идентифицираха нови грешки в браузъра Microsoft Edge и Mozilla Firefox.
Така успяха изследователите хак Edge:
Това беше всичко, от браузър в клиент на виртуална машина до изпълнение на код в основния хипервизор. Те започнаха с грешка при объркване на типа в браузъра Microsoft Edge, след което използваха състезателно условие в ядрото на Windows, последвано от запис извън границите на VMware работна станция
Най-важното е, че недостатъкът на ескалацията на ядрото във Firefox 66 беше демонстриран от Ричард Жу и Амат Кама, официално известен като Флуороацетат, получи награда за 50 000 долара. Никлас Баумстарк използватехника за бягство в пясъчник за експлоатация на Firefox 66.0 и получи награда от $ 40 000.
Всички тези уязвимости са докладвани на Microsoft и Mozilla, а компаниите, които работят по корекциите, се очаква да бъдат пуснати при следващите актуализации.
СВЪРЗАНИ СТАТИИ, КОИТО ТРЯБВА ДА ПРОВЕРИТЕ:
- Изтеглете Windows Defender Application Guard на Chrome и Firefox
- Как да възстановите предишни сесии в Microsoft Edge
- Firefox и Chrome не могат да съответстват на стандартите за сигурност на Microsoft Edge
