Sicherheitsforscher haben Microsoft Edge und Mozilla Firefox richtig gehackt und einen Geldpreis von 270.000 US-Dollar gewonnen Pwn2Own-Hacking-Event.
Das Der Browser Firefox 66 wurde am 19. März angekündigt, sodass das Unternehmen befreundete Hacker angreifen ließ, um potenzielle Sicherheitslücken zu erkennen.
Die Forscher identifizierten zwei Probleme im Webbrowser. Schon am nächsten Tag beschloss das Unternehmen, einen Patch zu veröffentlichen, um beide im Firefox 66.0.1-Update zu beheben.
Diejenigen, die es nicht wissen Pwn2Own ist im Grunde ein jährlicher Hacking-Wettbewerb. Es bietet Sicherheitsforschern eine großartige Gelegenheit, neue Zero-Day-Bugs zu demonstrieren.
Als Gegenleistung für ihre Bemühungen belohnt die Zero Day Initiative (ZDI) von Trend Micro sie mit einem stattlichen Betrag.
Das @fluoracetat Duo macht es wieder. Sie benutzten eine Typenverwechslung in #Kante, eine Race Condition im Kernel, dann ein Out-of-Bounds Write in #VMware um von einem Browser in einem virtuellen Client zur Ausführung von Code auf dem Host-Betriebssystem zu wechseln. Sie verdienen 130.000 US-Dollar plus 13 Master of Pwn-Punkte.
pic.twitter.com/mD13kozJLv— Zero-Day-Initiative (@thezdi) 21. März 2019
Pwn2Own-Zusammenfassung
Die Forscher, die Neues demonstrierten Sicherheitslücken in Oracle VirtualBox, Apple Safari und VMware Workstation wurden am ersten Tag von Pwn2Own 2019 mit 240.000 US-Dollar ausgezeichnet.
In Richtung des zweiten Tages vergab das ZDI einen Betrag von 270.000 US-Dollar an diejenigen Forscher, die neue Fehler in Microsofts Edge- und Mozilla Firefox-Browser identifizierten.
So ist es den Forschern gelungen Edge hacken:
Das ist alles, was Sie brauchen, um von einem Browser in einem Client für virtuelle Maschinen zur Ausführung von Code auf dem zugrunde liegenden Hypervisor zu gelangen. Sie begannen mit einem Fehler bei der Typenverwechslung im Microsoft Edge-Browser, verwendeten dann eine Race Condition im Windows-Kernel, gefolgt von einem Out-of-Bounds-Schreiben in der VMware-Workstation
Am wichtigsten ist die Der Kernel-Eskalationsfehler in Firefox 66 wurde von Richard Zhu demonstriert und Amat Cama, offiziell bekannt als Fluoroacetate, erhielt eine Auszeichnung in Höhe von 50.000 US-Dollar. Niklas Baumstark gebrauchteine Sandbox-Escape-Technik, um Firefox 66.0 auszunutzen, und erhielt eine Auszeichnung von 40.000 US-Dollar.
Alle von denen Sicherheitslücken wurden Microsoft und Mozilla gemeldet, und die Unternehmen arbeiten an den Patches, die voraussichtlich in den nächsten Updates veröffentlicht werden.
ZUGEHÖRIGE ARTIKEL, DIE SIE ANSEHEN MÜSSEN:
- Laden Sie Windows Defender Application Guard auf Chrome und Firefox herunter
- So stellen Sie frühere Sitzungen in Microsoft Edge wieder her
- Firefox und Chrome können die Sicherheitsstandards von Microsoft Edge nicht erfüllen
