A biztonsági kutatók a Microsoft Edge-t és a Mozilla Firefoxot hackelték, és 270 ezer dolláros pénzjutalmat kerestek itt Pwn2Own hackelés.
A A Firefox 66 böngészőt március 19-én jelentették be, így a vállalat barátságos hackereknek engedte támadni, hogy felderítsék az esetleges biztonsági réseket.
A kutatók két kérdést azonosítottak a webböngészőben. Már másnap a vállalat úgy döntött, hogy kiad egy javítást, amely javítja mindkettőjüket a Firefox 66.0.1 frissítésében.
Akik nincsenek tisztában Pwn2Own, ez alapvetően egy éves hacker verseny. Nagyszerű lehetőséget kínál a biztonságkutatók számára, hogy új, nulla napos hibákat mutathassanak be.
Erőfeszítéseik fejében a Trend Micro Zero Day Initiative (ZDI) jókora összeggel jutalmazza őket.
A @ fluor-acetát a duó megint megcsinálja. Típuszavart használtak #Él, egy faji feltétel a kernelben, majd egy határon kívüli beírja #VMware hogy a virtuális kliens böngészőjéből a futtató operációs rendszeren futtasson kódot. 130 ezer dollárt és 13 Master of Pwn pontot szereznek. pic.twitter.com/mD13kozJLv
- Zero Day Initiative (@thezdi) 2019. március 21
Pwn2Own Roundup
A kutatók, akik újat mutattak be Az Oracle VirtualBox, az Apple Safari és a VMware munkaállomás sebezhetőségeit 240 000 dollárral jutalmazták a Pwn2Own 2019 első napján.
A második nap felé haladva a ZDI 270 000 dollárt ítélt meg azoknak a kutatóknak, akik új hibákat azonosítottak a Microsoft Edge és Mozilla Firefox böngészőjében.
Így sikerült a kutatóknak hack Edge:
Ennyi kellett ahhoz, hogy egy virtuális gép kliens böngészőjétől az alapul szolgáló hipervizoron kódot futtassunk. Típuszavarral kezdték a Microsoft Edge böngészőben, majd versenyfeltételeket alkalmaztak a Windows kerneljében, majd határon kívüli írást követtek a VMware munkaállomáson.
A legfontosabb, hogy a Firefox 66 kernel-eszkalációs hibáját Richard Zhu bizonyította, és Amat Cama hivatalosan Fluoracetate néven 50 000 dollárért kapott díjat. Niklas Baumstark használthomokozós menekülési technika a Firefox 66.0 kiaknázására, és 40 000 dolláros díjat kapott.
Ebből mind biztonsági résekről számoltak be a Microsoftnak és a Mozillának, és a javításokon dolgozó vállalatok várhatóan a következő frissítésekben fognak megjelenni.
KAPCSOLÓDÓ CIKKEK, AMELYEKET ELLENŐRZNI KELL:
- Töltse le a Windows Defender Application Guard alkalmazást a Chrome-ra és a Firefox-ra
- A Microsoft Edge korábbi munkameneteinek visszaállítása
- A Firefox és a Chrome nem felel meg a Microsoft Edge biztonsági szabványainak
