Microsoft on sanonut lukemattomia kertoja siitä Edge on turvallisin selain sen insinöörit ovat koskaan luoneet. Valkoisten hattujen hakkerit osoittivat kuitenkin äskettäin toisin.
Pwn2Own on maailman tunnetuin hakkerointikilpailu, jossa monet hakkerit kokoontuvat yhteen ja yrittävät tunnistaa ja hyödyntää ohjelmistohaavoittuvuuksia. Tämän vuoden julkaisussa ohjelmistoratkaisut, kuten Oracle VirtualBox, Microsoft Hyper-V Client, Chrome, Safari, Edge, Firefox, Adobe Reader, Microsoft Outlook ja monet muut olivat käytettävissä hakkerointi.
Voittaja 2018 Pwn2Own-painos on hakkeri Richard Zhu, joka onnistui murtautumaan Edgen ja Firefoxin tietoturvaesteistä.
Richard palasi kohdentamaan Microsoft Edgeä Windows-ytimellä EoP […] Ensimmäisen yrityksen epäonnistumisen jälkeen hän jatkoi virheenkorjausta väkijoukon edessä, vaikka hän oli vielä kellossa. Hänen toinen yritys melkein onnistui, mutta kohde sininen näytettiin juuri hänen kuorensa alkaessa. Hänen kolmas yritys onnistui vain minuutin ja 37 sekunnin kuluttua. Loppujen lopuksi hän käytti selaimessa kahta virhettä käytön jälkeen (free-after-free, UAF) ja ytimen kokonaisluvun ylivuotoa suorittaakseen koodinsa korkeammilla käyttöoikeuksilla.
Zhu palkittiin tuloksistaan 120 000 dollaria.
Microsoftin pitäisi pian ottaa käyttöön korjaustiedosto
Pwn2Own-kilpailun järjesti Trend Micron Zero Day Initiative (ZDI). Sitten yritys tarjosi myyjien edustajille lisätietoja hyödynnöistä, joita hakkerit käyttivät kilpailun aikana.
Nämä haavoittuvuustiedot eivät kuitenkaan ole vielä yleisön saatavilla, koska toimittajilla on käytettävissään 90 päivää aikaa julkaista vastaavat korjaustiedostot.
Toisin sanoen Microsoftin pitäisi pian julkaista korjaustiedosto, joka kohdistuu näihin äskettäin paljastettuihin haavoittuvuuksiin.
Haavoittuvuuksista puhuen Microsoft käynnisti äskettäin uuden vikapalkkio-ohjelman palkitsee sinulle 250 000 dollaria löytää turvallisuuskysymyksiä ohjelmistaan.
Lisätietoja Windows 10 -tietokoneesi suojaamisesta uusimmilta tietoturvauhkilta on alla luetelluissa oppaissa:
- 5 parasta kannettavan tietoturvaohjelmistoa täydelliseen suojaukseen vuonna 2018
- 5 parasta suojausohjelmistoa salaustoimintaan lompakon suojaamiseksi
- 5 parasta tietoturvaohjelmistoa useille laitteille [2018-luettelo]
