חוקרי אבטחה פרצו נכון את Microsoft Edge ו- Mozilla Firefox והרוויחו פרס כספי של 270,000 $ ב אירוע פריצה של Pwn2Own.
ה דפדפן פיירפוקס 66 הוכרז ב -19 במרץ, ולכן החברה נתנה להאקרים ידידותיים לתקוף אותו על מנת לאתר פגיעות אבטחה אפשריות.
החוקרים זיהו שני נושאים בדפדפן האינטרנט. כבר למחרת החליטה החברה לשחרר תיקון לתיקון שניהם בעדכון Firefox 66.0.1.
למי שלא מודע Pwn2Own, זו בעצם תחרות פריצה שנתית. זה מספק הזדמנות נהדרת לחוקרי אבטחה כדי שיוכלו להפגין באגים חדשים של אפס יום.
בתמורה למאמציהם, יוזמת Zero Day של Trend Micro (ZDI) מתגמלת אותם בסכום נאה.
ה @ פלואורואצטאט הצמד עושה את זה שוב. הם השתמשו בבלבול מסוג #קָצֶה, תנאי גזע בגרעין, ואז כותב מחוץ לתחום #VMware לעבור מדפדפן בלקוח וירטואלי להפעלת קוד במערכת ההפעלה המארחת. הם מרוויחים 130 אלף דולר פלוס 13 נקודות מאסטר של Pwn. pic.twitter.com/mD13kozJLv
- יוזמת יום אפס (@thezdi) 21 במרץ, 2019
Pwn2Own Roundup
החוקרים שהפגינו חדש נקודות תורפה בתחומי העבודה של Oracle VirtualBox, Apple Safari ו- VMware הוענקו 240,000 דולר ביום הראשון של Pwn2Own 2019.
לקראת היום השני, ZDI העניקה סכום של 270,000 דולר לאותם חוקרים שזיהו באגים חדשים בדפדפן Edge ו- Mozilla Firefox של מיקרוסופט.
כך הצליחו החוקרים לפרוץ אדג ':
זה כל מה שנדרש כדי לעבור מדפדפן בלקוח מכונה וירטואלית לביצוע קוד ב- hypervisor הבסיסי. הם התחילו עם באג של בלבול בדפדפן Microsoft Edge, ואז השתמשו במצב מירוץ בגרעין Windows ואחריו כתיבה מחוץ לתחום בתחנת העבודה של VMware.
והכי חשוב, פגם בהסלמת גרעין ב- Firefox 66 הוכיח על ידי ריצ'רד ג'ו ועמאט קמה המכונה רשמית Fluoroacetate קיבלו פרס תמורת 50,000 $. ניקלס באומסטארק השתמשטכניקת בריחת ארגז חול לניצול Firefox 66.0 וקיבלה פרס של 40,000 $.
כל אלו פגיעויות דווחו למיקרוסופט ולמוזילה, והחברות עובדות על התיקונים צפויות להשתחרר בעדכונים הבאים.
פריטים קשורים שאתה צריך לבדוק:
- הורד את Windows Defender Application Guard ב- Chrome וב- Firefox
- כיצד לשחזר הפעלות קודמות ב- Microsoft Edge
- Firefox ו- Chrome אינם יכולים להתאים לתקני האבטחה של Microsoft Edge
