Turvallisuustutkijat hakkeroivat Microsoft Edgen ja Mozilla Firefoxin oikein ja ansaitsivat 270 000 dollarin käteispalkinnon Pwn2Own-hakkerointitapahtuma.
Firefox 66 -selain ilmoitettiin 19. maaliskuuta, joten yhtiö antoi ystävällisten hakkereiden hyökätä siihen mahdollisten tietoturva-aukkojen havaitsemiseksi.
Tutkijat tunnistivat kaksi ongelmaa verkkoselaimessa. Seuraavana päivänä yritys päätti julkaista korjaustiedoston korjataakseen molemmat Firefox 66.0.1 -päivityksessä.
Ne, jotka eivät ole tietoisia siitä Pwn2Own, se on pohjimmiltaan vuosittainen hakkerointikilpailu. Se tarjoaa loistavan mahdollisuuden turvallisuustutkijoille, jotta he voivat osoittaa uusia nollapäivän vikoja.
Vastineeksi heidän ponnisteluistaan Trend Micron Zero Day Initiative (ZDI) palkitsee heidät komealla summalla.
@fluoriasetaatti duo tekee sen uudestaan. He käyttivät tyypin sekaannusta #Reuna, kilpailutilanne ytimessä, sitten ulkopuoliset kirjoittavat #VMware siirtyäksesi virtuaalisen asiakkaan selaimesta suorittamaan koodia isäntä-käyttöjärjestelmässä. He ansaitsevat 130 000 dollaria plus 13 Master of Pwn -pistettä.
pic.twitter.com/mD13kozJLv- Zero Day Initiative (@thezdi) 21. maaliskuuta 2019
Pwn2Own Roundup
Tutkijat, jotka osoittivat uutta Oracle VirtualBox-, Apple Safari- ja VMware-työaseman haavoittuvuudet saivat 240 000 dollaria Pwn2Own 2019: n ensimmäisenä päivänä.
Toista päivää kohti ZDI myönsi 270 000 dollaria tutkijoille, jotka havaitsivat uusia virheitä Microsoftin Edge- ja Mozilla Firefox -selaimissa.
Näin tutkijat onnistuivat hakata Edge:
Siinä kaikki mitä tarvitsi siirtyäksesi virtuaalikoneohjelman selaimesta koodin suorittamiseen alla olevaan hypervisoriin. He alkoivat tyypin sekoitusbugilla Microsoft Edge -selaimessa, sitten käyttivät kilpailutilannetta Windows-ytimessä, jota seurasi ulkopuolinen kirjoitus VMware-työasemassa
Mikä tärkeintä, Richard Zhu osoitti Firefox 66: n ytimen laajenemisvirheen, ja Amat Cama, joka tunnetaan virallisesti nimellä fluoriasetaatti, sai palkinnon 50000 dollaria. Niklas Baumstark käytettyhiekkalaatikkotekniikka Firefox 66.0: n hyödyntämiseksi ja sai 40 000 dollarin palkinnon.
Kaikki näistä haavoittuvuuksista on ilmoitettu Microsoftille ja Mozillalle, ja korjaustöiden parissa työskentelevien yritysten odotetaan julkaisevan seuraavissa päivityksissä.
Aiheeseen liittyvät artikkelit, jotka sinun on tarkistettava:
- Lataa Windows Defender Application Guard Chrome ja Firefox
- Aikaisempien istuntojen palauttaminen Microsoft Edgessä
- Firefox ja Chrome eivät voi täyttää Microsoft Edgen suojausstandardeja
