इस साल की Pwn2Own प्रतियोगिता तीन दिनों के हैकिंग ब्राउज़र और ऑपरेटिंग सिस्टम के बाद समाप्त हुई। अंत में, माइक्रोसॉफ्ट के एज ब्राउजर घटना के दौरान हमलों को रोकने में विफल रहने के बाद हारे हुए के रूप में उभरा।
चीनी सुरक्षा फर्म Qihoo 360 की एक टीम ने Edge का फायदा उठाया और VMware वर्कस्टेशन होस्ट से बचने के लिए दो सुरक्षा खामियों को एक साथ जोड़ा। कमजोरियों का पता लगाने के लिए टीम को इनाम के रूप में 105,000 डॉलर मिले। प्रतियोगिता को प्रायोजित करने वाले जीरो डे इनिशिएटिव ने एक ब्लॉग पोस्ट में कहा:
हमारे दिन की शुरुआत 360 सुरक्षा (@mj0011sec) के लोगों के साथ हुई, जो Microsoft Edge के माध्यम से पूर्ण वर्चुअल मशीन से बचने का प्रयास कर रहे थे। Pwn2Own प्रतियोगिता के लिए पहली बार, वे माइक्रोसॉफ्ट एज में एक ढेर अतिप्रवाह का लाभ उठाकर पूरी तरह सफल हुए, ए Windows कर्नेल में भ्रम टाइप करें, और एक पूर्ण वर्चुअल मशीन के लिए VMware वर्कस्टेशन में एक अप्रारंभीकृत बफर पलायन। इन तीन बगों ने उन्हें $ 105,000 और 27 मास्टर ऑफ Pwn अंक अर्जित किए। उन्होंने यह नहीं बताया कि शोध में उन्हें कितना समय लगा, लेकिन कोड प्रदर्शन के लिए केवल 90 सेकंड की आवश्यकता थी।
इसके बाद रिचर्ड झू (प्रतिदीप्ति) एक सिस्टम-स्तर की वृद्धि के साथ Microsoft एज को लक्षित कर रहा था। हालांकि उनका पहला प्रयास विफल हो गया, उनके दूसरे प्रयास ने माइक्रोसॉफ्ट एज में दो अलग-अलग उपयोग-आफ्टर-फ्री (यूएएफ) बग्स का लाभ उठाया और फिर विंडोज कर्नेल में बफर ओवरफ्लो का उपयोग करके सिस्टम तक बढ़ा दिया। इसने उन्हें $ 55,000 और Pwn के मास्टर की ओर 14 अंक प्राप्त किए।
दूसरे VMware वर्कस्टेशन से बचने के लिए Tencent सुरक्षा को $ 100,000 भी मिले। जेडडीआई ने समझाया:
दिन और प्रतियोगिता दोनों के लिए अंतिम कार्यक्रम में Tencent सुरक्षा - टीम स्निपर (कीन लैब और पीसी .) था Mgr) VMWare वर्कस्टेशन (गेस्ट-टू-होस्ट) को लक्षित करते हुए, और घटना निश्चित रूप से एक के साथ समाप्त नहीं हुई कानाफूसी उन्होंने VMWare वर्कस्टेशन शोषण के साथ वर्चुअल मशीन एस्केप (गेस्ट-टू-होस्ट) श्रेणी जीतने के लिए तीन-बग श्रृंखला का उपयोग किया। इसमें एक विंडोज कर्नेल UAF, एक वर्कस्टेशन इन्फोलीक, और वर्कस्टेशन में गेस्ट-टू-होस्ट जाने के लिए एक अप्रारंभीकृत बफर शामिल था। इस श्रेणी ने कठिनाई को और भी बढ़ा दिया क्योंकि अतिथि में VMware उपकरण स्थापित नहीं थे।
हालाँकि Pwn2Own प्रतियोगिता में हर ब्राउज़र पर समान रूप से हमला करने की एक उचित विधि का अभाव है, लेकिन स्पष्ट रूप से Microsoft के पास अभी भी एज की सुरक्षा में सुधार करने के लिए एक लंबा रास्ता तय करना है।
संबंधित कहानियां जिन्हें आपको देखना चाहिए:
- Microsoft Edge के सुरक्षा अलर्ट तकनीकी सहायता घोटाले के दुरुपयोग की चपेट में हैं
- फ़ायरफ़ॉक्स और क्रोम माइक्रोसॉफ्ट एज सुरक्षा मानकों से मेल नहीं खा सकते हैं
- Microsoft का दावा है कि एज उसका सबसे सुरक्षित ब्राउज़र है जिसमें अब तक कोई शून्य-दिन का कारनामा नहीं हुआ है
