MicrosoftEdgeがPwn2Own2019でハッキングされ、パッチが届きました

セキュリティ研究者はMicrosoftEdgeとMozillaFirefoxを正しくハッキングし、で27万ドルの賞金を獲得しました。 Pwn2Ownハッキングイベント。

ザ・ Firefox 66ブラウザは3月19日に発表されたため、同社は潜在的なセキュリティの脆弱性を検出するために、友好的なハッカーにブラウザを攻撃させました。

研究者たちは、Webブラウザで2つの問題を特定しました。 翌日、同社はFirefox66.0.1アップデートで両方を修正するパッチをリリースすることを決定しました。

知らない人 Pwn2Own、それは基本的に毎年恒例のハッキングコンテストです。 これは、セキュリティ研究者に新しいゼロデイバグを示す絶好の機会を提供します。

彼らの努力の見返りとして、トレンドマイクロのゼロデイイニシアチブ（ZDI）はかなりの金額で彼らに報酬を与えます。

ザ・ @フルオロ酢酸塩 デュオはまたそれをします。 彼らはタイプの混乱を使用しました ＃縁、カーネルの競合状態、次に範囲外の書き込み #VMware 仮想クライアントのブラウザからホストOSでコードを実行します。 彼らは$ 130Kと13のMasterofPwnポイントを獲得します。 pic.twitter.com/mD13kozJLv

—ゼロデイイニシアチブ（@thezdi） 2019年3月21日

Pwn2Ownラウンドアップ

新しいことを示した研究者 Oracle VirtualBox、Apple Safari、およびVMwareワークステーションの脆弱性は、Pwn2Own2019の初日に$ 240,000を授与されました。

2日目に向けて、ZDIは、MicrosoftのEdgeおよびMozillaFirefoxブラウザの新しいバグを特定した研究者に27万ドルを授与しました。

これが研究者が何とかした方法です エッジをハックする:

仮想マシンクライアントのブラウザから基盤となるハイパーバイザーでコードを実行するのに必要なのはこれだけです。 彼らは、Microsoft Edgeブラウザーのタイプの混乱のバグから始め、次にWindowsカーネルで競合状態を使用し、続いてVMwareワークステーションで範囲外の書き込みを行いました。

最も重要なのは、 Firefox66のカーネルエスカレーションの欠陥はRichardZhuによって実証され、正式にはFluoroacetateとして知られているAmatCamaが50,000ドルの賞を受賞しました。 NiklasBaumstarkが使用

Firefox 66.0を悪用するサンドボックスエスケープ技術で、40,000ドルの賞を受賞しました。

これらすべて 脆弱性はMicrosoftとMozillaに報告されており、パッチに取り組んでいる企業は次のアップデートでリリースされる予定です。

チェックアウトする必要のある関連記事：

• ChromeとFirefoxにWindowsDefender ApplicationGuardをダウンロードする
• MicrosoftEdgeで以前のセッションを復元する方法
• FirefoxとChromeはMicrosoftEdgeのセキュリティ標準に適合しません