Microsoft Edge diretas di Pwn2Own 2019, patch masuk

Pwn2Own 2019

Peneliti keamanan meretas Microsoft Edge dan Mozilla Firefox dengan benar dan mendapatkan hadiah uang tunai sebesar $270K di Acara peretasan Pwn2Own.

Itu Peramban Firefox 66 diumumkan pada 19 Maret, jadi perusahaan membiarkan peretas yang ramah untuk menyerangnya untuk mendeteksi potensi kerentanan keamanan.

Para peneliti mengidentifikasi dua masalah di browser web. Pada hari berikutnya, perusahaan memutuskan untuk merilis tambalan untuk memperbaiki keduanya di pembaruan Firefox 66.0.1.

Mereka yang tidak sadar Pwn2Own, pada dasarnya adalah kompetisi hacking tahunan. Ini memberikan peluang besar bagi peneliti keamanan sehingga mereka dapat mendemonstrasikan bug zero-day baru.

Sebagai imbalan atas upaya mereka, Zero Day Initiative (ZDI) Trend Micro menghadiahi mereka dengan jumlah yang besar.

Itu @fluoroasetat duo melakukannya lagi. Mereka menggunakan kebingungan tipe dalam #Tepi, kondisi balapan di kernel, lalu menulis di luar batas #VMware untuk beralih dari browser di klien virtual ke mengeksekusi kode pada OS host. Mereka mendapatkan $130K ditambah 13 poin Master of Pwn.

pic.twitter.com/mD13kozJLv

— Inisiatif Zero Day (@thezdi) 21 Maret 2019

Pwn2Own Roundup

Para peneliti yang mendemonstrasikan kerentanan di Oracle VirtualBox, Apple Safari, dan workstation VMware diberikan $240.000 pada hari pertama Pwn2Own 2019.

Menjelang hari kedua, ZDI memberikan sejumlah $270.000 kepada para peneliti yang mengidentifikasi bug baru di browser Microsoft Edge dan Mozilla Firefox.

Beginilah cara para peneliti berhasil retas Tepi:

Hanya itu yang diperlukan untuk beralih dari browser di klien mesin virtual ke mengeksekusi kode pada hypervisor yang mendasarinya. Mereka mulai dengan bug kebingungan tipe di browser Microsoft Edge, kemudian menggunakan kondisi balapan di kernel Windows diikuti dengan penulisan di luar batas di VMware workstation

Yang terpenting, cacat eskalasi kernel di Firefox 66 ditunjukkan oleh Richard Zhu dan Amat Cama yang secara resmi dikenal sebagai Fluoroacetate menerima penghargaan sebesar $50.000. Niklas Baumstark digunakanteknik pelarian kotak pasir untuk mengeksploitasi Firefox 66.0 dan menerima penghargaan sebesar $40.000.

Semua ini kerentanan telah dilaporkan ke Microsoft dan Mozilla, dan perusahaan yang sedang mengerjakan tambalan diharapkan akan dirilis di pembaruan berikutnya.

ARTIKEL TERKAIT YANG PERLU ANDA LIHAT:

  • Unduh Penjaga Aplikasi Windows Defender di Chrome dan Firefox
  • Cara memulihkan sesi sebelumnya di Microsoft Edge
  • Firefox dan Chrome tidak dapat menandingi standar keamanan Microsoft Edge
Apakah Microsoft pihak yang tepat untuk membicarakan Flax Typhoon?

Apakah Microsoft pihak yang tepat untuk membicarakan Flax Typhoon?MicrosoftKeamanan Cyber

Perjalanan Microsoft masih panjang dalam hal keamanan,Pada tahun 2022, lebih dari 80% akun Microsoft 365 diretas.Awal musim panas ini, Tenable mengkritik keras Microsoft karena tidak mengatasi kere...

Baca selengkapnya
URL yang ditinggalkan dapat membuat Microsoft Entra ID terbakar

URL yang ditinggalkan dapat membuat Microsoft Entra ID terbakarMicrosoftKeamanan Cyber

Kerentanan berbahaya ini ditemukan oleh SecureWorks, awal tahun ini.Penyerang hanya akan membajak URL yang ditinggalkan dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.Kerentana...

Baca selengkapnya
Microsoft Purview mendapatkan halaman laporan baru untuk mencegah pencurian IP

Microsoft Purview mendapatkan halaman laporan baru untuk mencegah pencurian IPMicrosoftKeamanan Cyber

Halaman laporan baru akan hadir di Purview pada Januari 2024.Fitur ini akan dipratinjau akhir bulan ini.Ini akan tersedia secara umum pada tahun 2024.Halaman laporan baru akan memfasilitasi pengelo...

Baca selengkapnya