Οι ερευνητές ασφαλείας χάραξαν τα Microsoft Edge και Mozilla Firefox δεξιά και κέρδισαν χρηματικό έπαθλο $ 270K στο Εκδήλωση hacking Pwn2Own.
ο Το πρόγραμμα περιήγησης Firefox 66 ανακοινώθηκε στις 19 Μαρτίου, οπότε η εταιρεία επέτρεψε σε φιλικούς χάκερ να το επιτεθούν προκειμένου να εντοπίσουν τυχόν πιθανές ευπάθειες ασφαλείας.
Οι ερευνητές εντόπισαν δύο ζητήματα στο πρόγραμμα περιήγησης ιστού. Την επόμενη μέρα, η εταιρεία αποφάσισε να κυκλοφορήσει μια ενημέρωση κώδικα για να διορθώσει και τα δύο στην ενημέρωση του Firefox 66.0.1.
Όσοι δεν το γνωρίζουν Pwn2Own, είναι βασικά ένας ετήσιος διαγωνισμός hacking. Παρέχει μια μεγάλη ευκαιρία στους ερευνητές ασφαλείας, ώστε να μπορούν να παρουσιάσουν νέα σφάλματα μηδενικής ημέρας.
Σε αντάλλαγμα για τις προσπάθειές τους, το Zero Day Initiative (ZDI) της Trend Micro τους ανταμείβει με ένα όμορφο ποσό.
ο @ φθοροοξικό το ντουέτο το κάνει ξανά. Χρησιμοποίησαν μια σύγχυση τύπου #Ακρη, μια κατάσταση αγώνων στον πυρήνα και, στη συνέχεια, μια εγγραφή εκτός ορίου
#VMware για μετάβαση από πρόγραμμα περιήγησης σε εικονικό πρόγραμμα-πελάτη στην εκτέλεση κώδικα στο κεντρικό λειτουργικό σύστημα. Κερδίζουν $ 130K συν 13 πόντους Master of Pwn. pic.twitter.com/mD13kozJLv- Πρωτοβουλία Zero Day (@thezdi) 21 Μαρτίου 2019
Ενημέρωση Pwn2Own
Οι ερευνητές που έδειξαν νέα Τα τρωτά σημεία στο Oracle VirtualBox, το Apple Safari και το σταθμό εργασίας VMware απονεμήθηκαν 240.000 $ την πρώτη ημέρα του Pwn2Own 2019.
Προχωρώντας προς τη δεύτερη μέρα, η ZDI έδωσε ένα ποσό 270.000 $ σε αυτούς τους ερευνητές που εντόπισαν νέα σφάλματα στο πρόγραμμα περιήγησης Microsoft Edge και Mozilla Firefox.
Έτσι κατάφεραν οι ερευνητές χάκετ Edge:
Αυτό χρειάστηκε από το πρόγραμμα περιήγησης σε έναν υπολογιστή-πελάτη εικονικής μηχανής για την εκτέλεση κώδικα στον υποκείμενο υπεύθυνο. Ξεκίνησαν με ένα σφάλμα σύγχυσης τύπου στο πρόγραμμα περιήγησης Microsoft Edge και στη συνέχεια χρησιμοποίησαν μια κατάσταση αγώνα στον πυρήνα των Windows ακολουθούμενη από μια εγγραφή εκτός ορίου στο σταθμό εργασίας VMware
Το πιο σημαντικό, το Το ελάττωμα κλιμάκωσης του πυρήνα στον Firefox 66 αποδείχθηκε από τον Richard Zhu και ο Amat Cama, επίσημα γνωστός ως Fluoroacetate, έλαβε βραβείο για 50.000 $. Χρησιμοποιήθηκε ο Niklas Baumstarkμια τεχνική διαφυγής sandbox για εκμετάλλευση του Firefox 66.0 και έλαβε βραβείο 40.000 $.
Ολα αυτά Έχουν αναφερθεί ευπάθειες στη Microsoft και τη Mozilla και οι εταιρείες που εργάζονται στα διορθωτικά αρχεία αναμένεται να κυκλοφορήσουν στις επόμενες ενημερώσεις.
ΣΧΕΤΙΚΑ ΑΡΘΡΑ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΕΛΕΓΞΕΤΕ:
- Πραγματοποιήστε λήψη του Windows Defender Application Guard στο Chrome και στον Firefox
- Τρόπος επαναφοράς προηγούμενων περιόδων σύνδεσης στο Microsoft Edge
- Ο Firefox και το Chrome δεν μπορούν να αντιστοιχούν στα πρότυπα ασφαλείας του Microsoft Edge
