Istraživači sigurnosti hakirali su Microsoft Edge i Mozilla Firefox kako bi zaradili novčanu nagradu od 270.000 USD na Događaj hakiranja Pwn2Own.
The Preglednik Firefox 66 najavljen je 19. ožujka, tako da je tvrtka pustila prijateljske hakere da ga napadnu kako bi otkrili sve potencijalne sigurnosne ranjivosti.
Istraživači su identificirali dva problema u web pregledniku. Već sljedećeg dana tvrtka je odlučila objaviti zakrpu kako bi ih popravila u ažuriranju Firefoxa 66.0.1.
Oni koji nisu svjesni Pwn2Own, to je u osnovi godišnje natjecanje u hakiranju. Pruža izvrsnu priliku istraživačima sigurnosti kako bi mogli demonstrirati nove greške nultog dana.
Zauzvrat za njihov trud, Trend Micro's Zero Day Initiative (ZDI) nagrađuje ih lijepim iznosom.
The @ fluoroacetat dvojac to čini opet. U njima su koristili zbrku tipa #Rub, rasno stanje u jezgri, a zatim unesite izvan okvira #VMware za prelazak iz preglednika u virtualnom klijentu u izvršavanje koda na glavnom OS-u. Zarađuju 130.000 USD plus 13 Master of Pwn bodova. pic.twitter.com/mD13kozJLv
- Inicijativa nula dana (@thezdi) 21. ožujka 2019
Pregled Pwn2Own
Istraživači koji su demonstrirali novo ranjivosti u radnoj stanici Oracle VirtualBox, Apple Safari i VMware nagrađene su 240.000 USD prvog dana Pwn2Own 2019.
Krećući se prema drugom danu, ZDI je dodijelio iznos od 270 000 američkih dolara onim istraživačima koji su identificirali nove greške u Microsoftovom pregledniku Edge i Mozilla Firefox.
Ovako su uspjeli istraživači hack Edge:
To je sve što je trebalo da bi se od preglednika u klijentu virtualnog stroja došlo do izvršavanja koda na osnovnom hipervizoru. Počeli su s greškom u zbrci tipa u pregledniku Microsoft Edge, a zatim su upotrijebili uvjete utrke u jezgri sustava Windows, nakon čega je uslijedilo zapisivanje izvan okvira radne stanice VMware
Najvažnije je Nedostatak eskalacije jezgre u Firefoxu 66 demonstrirao je Richard Zhu, a Amat Cama službeno poznat kao Fluoroacetate dobio je nagradu za 50 000 USD. Niklas Baumstark koristiotehnika bijega iz pješčanika za iskorištavanje Firefoxa 66.0 i dobila je nagradu od 40.000 američkih dolara.
Sve ovo ranjivosti su prijavljene Microsoftu i Mozilli, a tvrtke rade na zakrpama koje će se objaviti u sljedećim ažuriranjima.
POVEZANI ČLANCI KOJE TREBAJTE PROVJERITI:
- Preuzmite Windows Defender Application Guard na Chrome i Firefox
- Kako vratiti prethodne sesije u Microsoft Edge
- Firefox i Chrome ne mogu se podudarati sa sigurnosnim standardima Microsoft Edge
