Microsoft Edge hakati Pwn2Own 2019-is häkkima, plaaster saabus

Pwn2Own 2019

Turbeuurijad häkkisid õigesti Microsoft Edge'i ja Mozilla Firefoxi ning teenisid rahalise auhinna 270 000 dollarit Pwn2Owni häkkimise sündmus.

The Firefox 66 brauserist teatati 19. märtsil, nii et ettevõte lasi sõbralikel häkkeritel seda rünnata, et avastada võimalikud turvanõrkused.

Teadlased tuvastasid veebibrauseris kaks probleemi. Juba järgmisel päeval otsustas ettevõte vabastada plaastri mõlema parandamiseks Firefoxi 66.0.1 värskenduses.

Need, kes pole sellest teadlikud Pwn2Own, see on põhimõtteliselt iga-aastane häkkimise võistlus. See pakub turvauurijatele suurepärast võimalust, et nad saaksid demonstreerida uusi nullipäeva vigu.

Vastutasuks nende pingutuste eest premeerib Trend Micro’s Zero Day Initiative (ZDI) neid nägusate summadega.

The @ fluoroatsetaat duo teeb seda uuesti. Aastal kasutasid nad tüüpi segadust #Edge, rassiolukord tuumas, siis kirjutavad väljapoole piire #VMware minna virtuaalse kliendi brauserist hostisüsteemi koodi täitmisele. Nad teenivad $ 130K pluss 13 Master of Pwn punkti. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21. märts 2019

Pwn2Owni ümardamine

Teadlased, kes demonstreerisid uut Oracle VirtualBoxi, Apple Safari ja VMware tööjaama haavatavustele määrati Pwn2Owni 2019 esimesel päeval 240 000 dollarit.

Teise päeva poole liikudes määras ZDI 270 000 dollarit neile teadlastele, kes tuvastasid Microsofti Edge ja Mozilla Firefoxi brauseris uued vead.

Nii said teadlased hakkama häkkima Edge:

See on kõik, mis kulus virtuaalmasina kliendis olevast brauserist selle koodi käivitamiseks hüpervisoril. Nad alustasid Microsoft Edge brauseri tüübi segiajamise veast, seejärel kasutasid Windowsi kernelis võistlustingimust, millele järgnes VMware tööjaamas piiriülene kirjutamine

Kõige tähtsam on Firefox 66 tuuma eskaleerimisviga näitas Richard Zhu ja Amat Cama, ametlikult tuntud kui fluoroatsetaat, sai auhinna 50 000 dollari eest. Niklas Baumstark kasutasliivakasti põgenemistehnika Firefox 66.0 kasutamiseks ja sai auhinna 40 000 dollarit.

Kõik need haavatavustest on teatatud Microsoftile ja Mozillale ning plaastritega tegelevad ettevõtted peaksid eeldatavasti avaldama järgmistes värskendustes.

SEOTUD ARTIKLID, mida peate kontrollima:

  • Laadige Chrome'i ja Firefoxi alla Windows Defenderi rakenduskaitse
  • Kuidas taastada eelmisi seansse Microsoft Edge'is
  • Firefox ja Chrome ei vasta Microsoft Edge'i turvastandarditele
Kuidas eemaldada Anatova lunavara Windows 10 arvutitest

Kuidas eemaldada Anatova lunavara Windows 10 arvutitestLunavaraKüberturvalisus

Anatova lunavara on ohtlik tüüpi küberrünnak, mis sihib teie arvutis olevaid kohalikke faile, kuid jagab ka teie võrgus olevaid ressursse.Kuigi lunavarast on sageli raske vabaneda, saab Anatova mõn...

Loe rohkem
10 parimat ettevõtte viirusetõrjet teie ettevõtte turvalisuse tagamiseks

10 parimat ettevõtte viirusetõrjet teie ettevõtte turvalisuse tagamiseksKüberturvalisus

Ajasäästlik tarkvara ja riistvara, mis aitab 200 miljonit kasutajat aastas. Juhendamine, kuidas nõuandeid, uudiseid ja näpunäiteid oma tehnoloogiaelu täiustamiseks.ESET PROTECT on lõpule viidudTeie...

Loe rohkem
Kuidas lubada turvalisuse parandamiseks operatsioonisüsteemis DNS HTTPS-i kaudu

Kuidas lubada turvalisuse parandamiseks operatsioonisüsteemis DNS HTTPS-i kauduOoperiteemadBrauserKüberturvalisus

Parem veebiturvalisus on see, mida me kõik oma brauseritelt soovime.Seda saate teha, lubades DNS-i HTTPS-i kaudu ja me näitame teile, kuidas seda Operas teha.Selle hämmastava tööriista kohta lisate...

Loe rohkem