Los investigadores de seguridad piratearon Microsoft Edge y Mozilla Firefox y ganaron un premio en efectivo de $ 270K en Evento de piratería Pwn2Own.
La El navegador Firefox 66 se anunció el 19 de marzo, por lo que la compañía permitió que piratas informáticos amigables lo atacaran para detectar posibles vulnerabilidades de seguridad.
Los investigadores identificaron dos problemas en el navegador web. Al día siguiente, la compañía decidió lanzar un parche para arreglar ambos en la actualización de Firefox 66.0.1.
Aquellos que no son conscientes de Pwn2Own, es básicamente una competencia de piratería anual. Brinda una gran oportunidad a los investigadores de seguridad para que puedan demostrar nuevos errores de día cero.
A cambio de sus esfuerzos, Zero Day Initiative (ZDI) de Trend Micro los recompensa con una cantidad considerable.
La @fluoroacetato duo lo vuelve a hacer. Usaron una confusión de tipo en #Borde, una condición de carrera en el kernel, luego una escritura fuera de límites en
#VMware para pasar de un navegador en un cliente virtual a ejecutar código en el sistema operativo host. Ganan $ 130K más 13 puntos Master of Pwn. pic.twitter.com/mD13kozJLv- Iniciativa Día Cero (@thezdi) 21 de marzo de 2019
Resumen de Pwn2Own
Los investigadores que demostraron nuevos Las vulnerabilidades en Oracle VirtualBox, Apple Safari y la estación de trabajo VMware recibieron $ 240,000 el primer día de Pwn2Own 2019.
Avanzando hacia el segundo día, ZDI otorgó una cantidad de $ 270,000 a aquellos investigadores que identificaron nuevos errores en el navegador Edge y Mozilla Firefox de Microsoft.
Así es como los investigadores lograron hackear Edge:
Eso es todo lo que se necesita para pasar de un navegador en un cliente de máquina virtual a ejecutar código en el hipervisor subyacente. Comenzaron con un error de confusión de tipos en el navegador Microsoft Edge, luego usaron una condición de carrera en el kernel de Windows seguida de una escritura fuera de límites en la estación de trabajo VMware.
Lo más importante es que Richard Zhu demostró la falla de escalamiento del kernel en Firefox 66 y Amat Cama, oficialmente conocido como Fluoroacetate, recibió un premio de $ 50,000. Niklas Baumstark utilizadouna técnica de escape sandbox para explotar Firefox 66.0 y recibió un premio de $ 40,000.
Todos estos Se han informado vulnerabilidades a Microsoft y Mozilla, y se espera que las empresas que están trabajando en los parches se publiquen en las próximas actualizaciones.
ARTÍCULOS RELACIONADOS QUE DEBE VERIFICAR:
- Descargue Windows Defender Application Guard en Chrome y Firefox
- Cómo restaurar sesiones anteriores en Microsoft Edge
- Firefox y Chrome no pueden coincidir con los estándares de seguridad de Microsoft Edge
