უსაფრთხოების მკვლევარებმა სწორად გატეხეს Microsoft Edge და Mozilla Firefox და მიიღეს ფულადი პრემია $ 270K Pwn2On საკუთარი ჰაკერების მოვლენა.
Firefox 66 ბრაუზერი გამოცხადდა 19 მარტს, ამიტომ კომპანიამ მეგობარ ჰაკერებს მისცა მას უფლება, თავდასხმა მოახდინონ, რათა აღმოაჩინონ უსაფრთხოების პოტენციური ხარვეზები.
მკვლევარებმა გამოავლინეს ორი საკითხი ვებ ბრაუზერში. მომდევნო დღეს, კომპანიამ გადაწყვიტა გაეშვა პატჩი, რომ ორივე გამოსწორებულიყო Firefox 66.0.1 განახლებაში.
ვინც არ იცის Pwn2Own, ეს ძირითადად არის ყოველწლიური ჰაკერული კონკურსი. ეს უსაფრთხოების შესაძლებლობას აძლევს უსაფრთხოების მკვლევარებს, რათა მათ შეძლონ ახალი ნულოვანი დღის შეცდომების დემონსტრირება.
მათი ძალისხმევის სანაცვლოდ, Trend Micro- ს ნულოვანი დღის ინიციატივა (ZDI) აჯილდოებს მათ ლამაზი თანხით.
@ ფლუოროცეტატი დუეტ კიდევ ერთხელ აკეთებს ამას. მათ გამოიყენეს ტიპის დაბნეულობა # ზღვარი, რასის მდგომარეობა ბირთვში, შემდეგ კი საზღვრებს გარეთ დაწერეთ #VMware ვირტუალური კლიენტის ბრაუზერიდან გადასვლა მასპინძელ OS– ზე კოდის შესრულებაზე. ისინი იღებენ $ 130 კგ პლუს 13 Pwn ქულის მაგისტრი. pic.twitter.com/mD13kozJLv
- ნულოვანი დღის ინიციატივა (@thezdi) 2019 წლის 21 მარტი
Pwn2 საკუთარი მიმოხილვა
მკვლევარებმა, რომლებმაც ახლის დემონსტრირება მოახდინეს Oracle VirtualBox, Apple Safari და VMware სამუშაო სადგურებში დაუცველობებს გადაეცათ 240,000 აშშ დოლარი Pwn2Own 2019-ის პირველ დღეს.
მეორე დღისკენ გადაადგილებულმა ZDI– მ 270 000 აშშ დოლარის ოდენობა დააჯილდოვა იმ მკვლევარებისთვის, რომლებმაც Microsoft- ის Edge და Mozilla Firefox ბრაუზერში ახალი შეცდომები გამოავლინეს.
ასე მოახერხეს მკვლევარებმა hack Edge:
სულ ეს იყო, რომ ვირტუალური მანქანის კლიენტის ბრაუზერიდან გადადიხართ ძირითად ჰიპერვიზორზე კოდის შესრულებაზე. მათ დაიწყეს Microsoft Edge ბრაუზერის ტიპის დაბნეულობის შეცდომით, შემდეგ გამოიყენეს რასის პირობა Windows ბირთვში, რასაც მოჰყვა საზღვრების გარეშე ჩაწერა VMware სამუშაო სადგურზე
რაც მთავარია, Firefox 66 – ის ბირთვების ესკალაციის ხარვეზი აჩვენა რიჩარდ ჟუმ და ამატ კამამ, რომელიც ოფიციალურად ცნობილია როგორც ფლუოროცეტატი, მიიღო ჯილდო 50 000 დოლარად. ნიკლას ბაუმსტარკმა გამოიყენაქვიშის ყუთის გაქცევის ტექნიკა Firefox 66.0-ის ექსპლუატაციისთვის და მიიღო ჯილდო $ 40,000.
Ეს ყველაფერი Microsoft– ისა და Mozilla– ს შესახებ დაუცველობების შესახებ ინფორმაციას ავრცელებენ და სავარაუდოდ, კომპანიები მომენტალურ განახლებებზე გამოაქვეყნებენ შეტყობინებებს.
დაკავშირებული სტატიები, რომელთა შესამოწმებლად საჭიროა:
- ჩამოტვირთეთ Windows Defender Application Guard Chrome- ზე და Firefox- ზე
- როგორ აღვადგინოთ წინა სესიები Microsoft Edge- ში
- Firefox და Chrome ვერ შეესაბამება Microsoft Edge უსაფრთხოების სტანდარტებს
