Microsoft Edge blev hacket på Pwn2Own 2019, patch indkommende

Pwn2Own 2019

Sikkerhedsforskere hackede Microsoft Edge og Mozilla Firefox rigtigt og tjente en pengepræmie på $ 270K på Pwn2Own hacking begivenhed.

Det Firefox 66-browseren blev annonceret den 19. marts, så virksomheden lod venlige hackere angribe den for at opdage eventuelle sikkerhedssårbarheder.

Forskerne identificerede to problemer i webbrowseren. Den næste dag besluttede virksomheden at frigive en patch til at rette dem begge i Firefox 66.0.1-opdateringen.

Dem, der ikke er opmærksomme på Pwn2Own, det er dybest set en årlig hacking-konkurrence. Det giver en fantastisk mulighed for sikkerhedsforskere, så de kan demonstrere nye nul-dages fejl.

Til gengæld for deres indsats belønner Trend Micros Zero Day Initiative (ZDI) dem med et smukt beløb.

Det @fluoracetat duo gør det igen. De brugte en slags forvirring i # Kant, en race-tilstand i kernen, så skriver en out-of-bounds ind #VMware at gå fra en browser i en virtuel klient til at udføre kode på værts-OS. De tjener $ 130K plus 13 Master of Pwn-point. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21. marts, 2019

Pwn2Own Roundup

Forskerne, der demonstrerede nye sårbarheder i Oracle VirtualBox, Apple Safari og VMware-arbejdsstation blev tildelt $ 240.000 den første dag i Pwn2Own 2019.

I retning af den anden dag tildelte ZDI et beløb på $ 270.000 til de forskere, der identificerede nye fejl i Microsofts Edge- og Mozilla Firefox-browser.

Sådan lykkedes det forskere hack Edge:

Det er alt, hvad der kræves for at gå fra en browser i en virtuel maskinklient til at udføre kode på den underliggende hypervisor. De startede med en type forvirringsfejl i Microsoft Edge-browseren og brugte derefter en race-tilstand i Windows-kernen efterfulgt af en ud-af-grænser-skrivning i VMware-arbejdsstation

Vigtigst er det, at kerneoptrapningsfejl i Firefox 66 blev demonstreret af Richard Zhu og Amat Cama officielt kendt som Fluoroacetate modtog en pris for $ 50.000. Niklas Baumstark brugten flugtteknik til sandkasse til at udnytte Firefox 66.0 og modtog en pris på $ 40.000.

Alle disse sårbarheder er blevet rapporteret til Microsoft og Mozilla, og virksomhederne arbejder på patches forventes at blive frigivet i de næste opdateringer.

RELATEREDE VARER, DU SKAL KONTROLLERE:

  • Download Windows Defender Application Guard til Chrome og Firefox
  • Sådan gendannes tidligere sessioner i Microsoft Edge
  • Firefox og Chrome kan ikke matche Microsoft Edge sikkerhedsstandarder
Microsofts cloud-server data brud udsætter data for millioner

Microsofts cloud-server data brud udsætter data for millionerCybersikkerhed

Israelske sikkerhedsforskere Noam Rotem og Ran Locar identificerede for nylig et usikret databaseproblem, der eksponerede følsomme data fra 80 millioner amerikanske husstande. Forskerne afslørede, ...

Læs mere
Application Guard blokerer ikke-tillid til Office-dokumenter

Application Guard blokerer ikke-tillid til Office-dokumenterMicrosoft 365Windows SandkasseCybersikkerhed

Defender Application Guard er en sikkerhedsteknologi designet til at sandkasse alle ikke-tillid til filer.Microsoft meddelte, at dens ForsvarerAnsøgningVagt til Kontor er tilgængelig nu for adminis...

Læs mere
BlueBorne-sårbarhed sætter alle Bluetooth-kompatible enheder i fare

BlueBorne-sårbarhed sætter alle Bluetooth-kompatible enheder i fareBluetoothCybersikkerhed

Der er få ting, der forbinder så mange enheder på samme tid som Bluetooth. Men når en sådan vigtig standard ikke længere er sikker, kan der virkelig ske dårlige ting med hensyn til sikkerhed. Desvæ...

Læs mere