सुरक्षा शोधकर्ताओं ने माइक्रोसॉफ्ट एज और मोज़िला फ़ायरफ़ॉक्स को हैक कर लिया और $270K का नकद पुरस्कार अर्जित किया earned Pwn2Own हैकिंग इवेंट।
19 मार्च को फ़ायरफ़ॉक्स 66 ब्राउज़र की घोषणा की गई थी, इसलिए कंपनी ने किसी भी संभावित सुरक्षा कमजोरियों का पता लगाने के लिए दोस्ताना हैकर्स को उस पर हमला करने दिया।
शोधकर्ताओं ने वेब ब्राउज़र में दो मुद्दों की पहचान की। अगले ही दिन, कंपनी ने फ़ायरफ़ॉक्स 66.0.1 अपडेट में दोनों को ठीक करने के लिए एक पैच जारी करने का निर्णय लिया।
जिन्हें जानकारी नहीं है Pwn2Own, यह मूल रूप से एक वार्षिक हैकिंग प्रतियोगिता है। यह सुरक्षा शोधकर्ताओं को एक शानदार अवसर प्रदान करता है ताकि वे नए शून्य-दिन बग प्रदर्शित कर सकें।
उनके प्रयासों के बदले में, ट्रेंड माइक्रो की जीरो डे इनिशिएटिव (जेडडीआई) उन्हें एक अच्छी राशि के साथ पुरस्कृत करती है।
@फ्लोरोएसेटेट युगल इसे फिर से करता है। उन्होंने एक प्रकार के भ्रम का इस्तेमाल किया #किनारे, कर्नेल में एक दौड़ की स्थिति, फिर एक आउट-ऑफ-बाउंड में लिखें #वीएमवेयर वर्चुअल क्लाइंट में ब्राउज़र से होस्ट ओएस पर कोड निष्पादित करने के लिए जाने के लिए। वे $130K प्लस 13 मास्टर ऑफ Pwn अंक अर्जित करते हैं। pic.twitter.com/mD13kozJLv
- जीरो डे इनिशिएटिव (@thezdi) मार्च 21, 2019
Pwn2ओन राउंडअप
जिन शोधकर्ताओं ने नया प्रदर्शन किया Oracle VirtualBox, Apple Safari और VMware वर्कस्टेशन में कमजोरियों को Pwn2Own 2019 के पहले दिन $ 240,000 से सम्मानित किया गया।
दूसरे दिन की ओर बढ़ते हुए, ZDI ने उन शोधकर्ताओं को $ 270,000 की राशि प्रदान की, जिन्होंने Microsoft के एज और मोज़िला फ़ायरफ़ॉक्स ब्राउज़र में नए बग की पहचान की।
इस तरह शोधकर्ता कामयाब रहे हैक एज:
वर्चुअल मशीन क्लाइंट में ब्राउज़र से अंतर्निहित हाइपरवाइजर पर कोड निष्पादित करने के लिए बस इतना ही करना पड़ता है। उन्होंने माइक्रोसॉफ्ट एज ब्राउजर में टाइप कन्फ्यूजन बग के साथ शुरुआत की, फिर विंडोज कर्नेल में रेस कंडीशन का इस्तेमाल किया और उसके बाद वीएमवेयर वर्कस्टेशन में आउट-ऑफ-बाउंड राइट्स का इस्तेमाल किया।
सबसे महत्वपूर्ण बात, फ़ायरफ़ॉक्स 66 में कर्नेल वृद्धि दोष रिचर्ड झू द्वारा प्रदर्शित किया गया था और अमाट कामा को आधिकारिक तौर पर फ्लूरोसेटेट के रूप में जाना जाता है, जिसे $ 50,000 का पुरस्कार मिला। निकलास बॉमस्टार्क ने इस्तेमाल कियाफ़ायरफ़ॉक्स 66.0 का फायदा उठाने के लिए एक सैंडबॉक्स एस्केप तकनीक और $40,000 का पुरस्कार प्राप्त किया।
इन सब माइक्रोसॉफ्ट और मोज़िला को कमजोरियों की सूचना दी गई है, और कंपनियां पैच पर काम कर रही हैं, अगले अपडेट में जारी होने की उम्मीद है।
संबंधित लेख जिन्हें आपको देखने की आवश्यकता है:
- क्रोम और फायरफॉक्स पर विंडोज डिफेंडर एप्लिकेशन गार्ड डाउनलोड करें
- माइक्रोसॉफ्ट एज में पिछले सत्रों को कैसे पुनर्स्थापित करें
- फ़ायरफ़ॉक्स और क्रोम माइक्रोसॉफ्ट एज सुरक्षा मानकों से मेल नहीं खा सकते हैं
