I ricercatori della sicurezza hanno hackerato correttamente Microsoft Edge e Mozilla Firefox e hanno guadagnato un premio in denaro di $ 270K a Evento di hacking Pwn2Own.
Il Il browser Firefox 66 è stato annunciato il 19 marzo, quindi la società ha permesso agli hacker amichevoli di attaccarlo per rilevare eventuali vulnerabilità di sicurezza.
I ricercatori hanno identificato due problemi nel browser web. Il giorno successivo, la società ha deciso di rilasciare una patch per correggere entrambi nell'aggiornamento 66.0.1 di Firefox.
Coloro che non sono a conoscenza di Pwn2Own, è fondamentalmente una competizione annuale di hacking. Offre una grande opportunità ai ricercatori di sicurezza in modo che possano dimostrare i nuovi bug zero-day.
In cambio dei loro sforzi, Zero Day Initiative (ZDI) di Trend Micro li ricompensa con una bella somma.
Il @fluoroacetato duo lo fa di nuovo. Hanno usato una confusione di tipo in #Bordo, una race condition nel kernel, quindi una scrittura fuori dai limiti
#VMware per passare da un browser in un client virtuale all'esecuzione di codice sul sistema operativo host. Guadagnano $ 130K più 13 punti Master of Pwn. pic.twitter.com/mD13kozJLv— Iniziativa Zero Day (@thezdi) 21 marzo 2019
Pwn2Own Roundup
I ricercatori che hanno dimostrato nuove vulnerabilità in Oracle VirtualBox, Apple Safari e VMware workstation hanno ricevuto $ 240.000 il primo giorno di Pwn2Own 2019.
Spostandosi verso il secondo giorno, ZDI ha assegnato un importo di $ 270.000 a quei ricercatori che hanno identificato nuovi bug nel browser Microsoft Edge e Mozilla Firefox.
Ecco come sono riusciti a fare i ricercatori hackerare Edge:
È tutto ciò che è servito per passare da un browser in un client di macchina virtuale all'esecuzione di codice sull'hypervisor sottostante. Hanno iniziato con un bug di confusione di tipo nel browser Microsoft Edge, quindi hanno utilizzato una race condition nel kernel di Windows seguita da una scrittura fuori dai limiti nella workstation VMware
La cosa più importante, il Il difetto di escalation del kernel in Firefox 66 è stato dimostrato da Richard Zhu e Amat Cama ufficialmente noto come Fluoroacetate ha ricevuto un premio di $ 50.000. Niklas Baumstark usatouna tecnica di fuga sandbox per sfruttare Firefox 66.0 e ha ricevuto un premio di $ 40.000.
Tutti questi vulnerabilità sono state segnalate a Microsoft e Mozilla e le aziende stanno lavorando sulle patch che dovrebbero essere rilasciate nei prossimi aggiornamenti.
ARTICOLI CORRELATI CHE DEVI VERIFICARE:
- Scarica Windows Defender Application Guard su Chrome e Firefox
- Come ripristinare le sessioni precedenti in Microsoft Edge
- Firefox e Chrome non possono corrispondere agli standard di sicurezza di Microsoft Edge
