Les chercheurs en sécurité piraté droit Microsoft Edge et Mozilla Firefox et gagné un prix en espèces de 270K $ à événement de piratage Pwn2Own.
le Firefox 66 navigateur a été annoncé le 19 Mars, afin que l'entreprise laisse les pirates sympathiques pour l'attaquer afin de détecter d'éventuelles failles de sécurité potentielles.
Les chercheurs ont identifié deux problèmes dans le navigateur Web. Le jour suivant, la société a décidé de sortir un patch pour corriger tous les deux dans la mise à jour de Firefox 66.0.1.
Ceux qui ne sont pas au courant Pwn2Own, il est essentiellement un concours de hacking annuel. Il offre une excellente opportunité aux chercheurs en sécurité afin qu'ils puissent démontrer de nouveaux bogues zero-day.
En contrepartie de leurs efforts, Zero Day Initiative de Trend Micro (ZDI) les récompense avec un beau montant.
le @fluoroacetate le duo le fait à nouveau. Ils ont utilisé une confusion de type dans #Bord, Une condition de course dans le noyau, un hors-limites écrire dans
#VMware de passer d'un navigateur dans un client virtuel pour exécuter du code sur le système d'exploitation hôte. Ils gagnent 130K $ plus 13 Maître de points Pwn. pic.twitter.com/mD13kozJLv- Zero Day Initiative (@thezdi) 21 mars 2019
Pwn2Own Roundup
Les chercheurs qui ont présenté de nouvelles vulnérabilités dans Oracle VirtualBox, Apple Safari et poste de travail VMware ont reçu 240 000 $ le premier jour de Pwn2Own 2019.
Vers le deuxième jour, ZDI a accordé un montant de 270 000 $ à ces chercheurs qui ont identifié de nouveaux bugs dans le navigateur Mozilla Firefox Edge et de Microsoft.
Voici comment les chercheurs ont réussi à bidouille bord:
C'est tout ce qu'il a fallu pour passer d'un navigateur dans un client de la machine virtuelle pour exécuter du code sur l'hyperviseur sous-jacent. Ils ont commencé avec un bug de confusion de type dans le navigateur Microsoft Edge, puis utilisé une condition de course dans le noyau Windows suivi d'un hors-limites écrire dans la station de travail VMware
Plus important encore, la défaut d'escalade noyau dans Firefox 66 a été démontrée par Richard Zhu et Amat Cama officiellement connu sous le nom fluoroacétate a reçu un prix pour 50 000 $. Niklas Baumstark utiliséune technique d'évasion de bac à sable pour exploiter Firefox 66,0 et a reçu un prix de 40 000 $.
Tous ces vulnérabilités ont été signalées à Microsoft et Mozilla, et les entreprises travaillent sur les correctifs devraient libérer dans les prochaines mises à jour.
ARTICLES CONNEXES QUE VOUS DEVEZ CONSULTER :
- Télécharger Windows Defender application Garde sur Chrome et Firefox
- Comment restaurer les sessions précédentes dans Microsoft Edge
- Firefox et Chrome ne peuvent pas correspondre aux normes de sécurité Microsoft Edge
