Microsoft Edge wurde bei Pwn2Own 2019 gehackt, Patch kommt

Pwn2Own 2019

Sicherheitsforscher haben Microsoft Edge und Mozilla Firefox richtig gehackt und einen Geldpreis von 270.000 US-Dollar gewonnen Pwn2Own-Hacking-Event.

Das Der Browser Firefox 66 wurde am 19. März angekündigt, sodass das Unternehmen befreundete Hacker angreifen ließ, um potenzielle Sicherheitslücken zu erkennen.

Die Forscher identifizierten zwei Probleme im Webbrowser. Schon am nächsten Tag beschloss das Unternehmen, einen Patch zu veröffentlichen, um beide im Firefox 66.0.1-Update zu beheben.

Diejenigen, die es nicht wissen Pwn2Own ist im Grunde ein jährlicher Hacking-Wettbewerb. Es bietet Sicherheitsforschern eine großartige Gelegenheit, neue Zero-Day-Bugs zu demonstrieren.

Als Gegenleistung für ihre Bemühungen belohnt die Zero Day Initiative (ZDI) von Trend Micro sie mit einem stattlichen Betrag.

Das @fluoracetat Duo macht es wieder. Sie benutzten eine Typenverwechslung in #Kante, eine Race Condition im Kernel, dann ein Out-of-Bounds Write in #VMware um von einem Browser in einem virtuellen Client zur Ausführung von Code auf dem Host-Betriebssystem zu wechseln. Sie verdienen 130.000 US-Dollar plus 13 Master of Pwn-Punkte.

pic.twitter.com/mD13kozJLv

— Zero-Day-Initiative (@thezdi) 21. März 2019

Pwn2Own-Zusammenfassung

Die Forscher, die Neues demonstrierten Sicherheitslücken in Oracle VirtualBox, Apple Safari und VMware Workstation wurden am ersten Tag von Pwn2Own 2019 mit 240.000 US-Dollar ausgezeichnet.

In Richtung des zweiten Tages vergab das ZDI einen Betrag von 270.000 US-Dollar an diejenigen Forscher, die neue Fehler in Microsofts Edge- und Mozilla Firefox-Browser identifizierten.

So ist es den Forschern gelungen Edge hacken:

Das ist alles, was Sie brauchen, um von einem Browser in einem Client für virtuelle Maschinen zur Ausführung von Code auf dem zugrunde liegenden Hypervisor zu gelangen. Sie begannen mit einem Fehler bei der Typenverwechslung im Microsoft Edge-Browser, verwendeten dann eine Race Condition im Windows-Kernel, gefolgt von einem Out-of-Bounds-Schreiben in der VMware-Workstation

Am wichtigsten ist die Der Kernel-Eskalationsfehler in Firefox 66 wurde von Richard Zhu demonstriert und Amat Cama, offiziell bekannt als Fluoroacetate, erhielt eine Auszeichnung in Höhe von 50.000 US-Dollar. Niklas Baumstark gebrauchteine Sandbox-Escape-Technik, um Firefox 66.0 auszunutzen, und erhielt eine Auszeichnung von 40.000 US-Dollar.

Alle von denen Sicherheitslücken wurden Microsoft und Mozilla gemeldet, und die Unternehmen arbeiten an den Patches, die voraussichtlich in den nächsten Updates veröffentlicht werden.

ZUGEHÖRIGE ARTIKEL, DIE SIE ANSEHEN MÜSSEN:

  • Laden Sie Windows Defender Application Guard auf Chrome und Firefox herunter
  • So stellen Sie frühere Sitzungen in Microsoft Edge wieder her
  • Firefox und Chrome können die Sicherheitsstandards von Microsoft Edge nicht erfüllen
Office 365 ATP, um neue Anti-Phishing-Verstärkungen zu erhalten

Office 365 ATP, um neue Anti-Phishing-Verstärkungen zu erhaltenBüro 365Onlinesicherheit

Office 365 ATP erhält neue Anti-Phishing-, Anti-Spam- und Anti-Malware-Funktionen.Bedrohungstypfilter für die gesamte E-Mail-Ansicht, Spam-Urteil in Threat Explorer und mehr werden im Laufe des dri...

Weiterlesen
Alteryx-Datenleck betrifft Millionen: Sind Sie betroffen?

Alteryx-Datenleck betrifft Millionen: Sind Sie betroffen?PrivatsphäreOnlinesicherheit

Der Schutz Ihrer persönlichen Daten wird immer schwieriger. Hacker arbeiten Tag und Nacht, um Ihre persönlichen Daten in die Hände bekommen, Websites verwenden Cookies und andere Tracking-Tools Ihr...

Weiterlesen
Microsoft 365-Benutzer: Vorsicht vor SharePoint-Phishing-Angriffen

Microsoft 365-Benutzer: Vorsicht vor SharePoint-Phishing-AngriffenMicrosoft 365Onlinesicherheit

Bedrohungsakteure schickten im Rahmen einer Phishing-Kampagne gefälschte SharePoint-E-Mails an Mitarbeiter in verschiedenen Organisationen.Die Angreifer versuchten, die Microsoft 365-Sicherheitsdat...

Weiterlesen