Peneliti keamanan meretas Microsoft Edge dan Mozilla Firefox dengan benar dan mendapatkan hadiah uang tunai sebesar $270K di Acara peretasan Pwn2Own.
Itu Peramban Firefox 66 diumumkan pada 19 Maret, jadi perusahaan membiarkan peretas yang ramah untuk menyerangnya untuk mendeteksi potensi kerentanan keamanan.
Para peneliti mengidentifikasi dua masalah di browser web. Pada hari berikutnya, perusahaan memutuskan untuk merilis tambalan untuk memperbaiki keduanya di pembaruan Firefox 66.0.1.
Mereka yang tidak sadar Pwn2Own, pada dasarnya adalah kompetisi hacking tahunan. Ini memberikan peluang besar bagi peneliti keamanan sehingga mereka dapat mendemonstrasikan bug zero-day baru.
Sebagai imbalan atas upaya mereka, Zero Day Initiative (ZDI) Trend Micro menghadiahi mereka dengan jumlah yang besar.
Itu @fluoroasetat duo melakukannya lagi. Mereka menggunakan kebingungan tipe dalam #Tepi, kondisi balapan di kernel, lalu menulis di luar batas #VMware untuk beralih dari browser di klien virtual ke mengeksekusi kode pada OS host. Mereka mendapatkan $130K ditambah 13 poin Master of Pwn.
pic.twitter.com/mD13kozJLv— Inisiatif Zero Day (@thezdi) 21 Maret 2019
Pwn2Own Roundup
Para peneliti yang mendemonstrasikan kerentanan di Oracle VirtualBox, Apple Safari, dan workstation VMware diberikan $240.000 pada hari pertama Pwn2Own 2019.
Menjelang hari kedua, ZDI memberikan sejumlah $270.000 kepada para peneliti yang mengidentifikasi bug baru di browser Microsoft Edge dan Mozilla Firefox.
Beginilah cara para peneliti berhasil retas Tepi:
Hanya itu yang diperlukan untuk beralih dari browser di klien mesin virtual ke mengeksekusi kode pada hypervisor yang mendasarinya. Mereka mulai dengan bug kebingungan tipe di browser Microsoft Edge, kemudian menggunakan kondisi balapan di kernel Windows diikuti dengan penulisan di luar batas di VMware workstation
Yang terpenting, cacat eskalasi kernel di Firefox 66 ditunjukkan oleh Richard Zhu dan Amat Cama yang secara resmi dikenal sebagai Fluoroacetate menerima penghargaan sebesar $50.000. Niklas Baumstark digunakanteknik pelarian kotak pasir untuk mengeksploitasi Firefox 66.0 dan menerima penghargaan sebesar $40.000.
Semua ini kerentanan telah dilaporkan ke Microsoft dan Mozilla, dan perusahaan yang sedang mengerjakan tambalan diharapkan akan dirilis di pembaruan berikutnya.
ARTIKEL TERKAIT YANG PERLU ANDA LIHAT:
- Unduh Penjaga Aplikasi Windows Defender di Chrome dan Firefox
- Cara memulihkan sesi sebelumnya di Microsoft Edge
- Firefox dan Chrome tidak dapat menandingi standar keamanan Microsoft Edge