보안 연구원은 Microsoft Edge 및 Mozilla Firefox를 올바르게 해킹하여 $ 270K의 상금을 받았습니다. Pwn2Own 해킹 이벤트.
그만큼 파이어 폭스 66 브라우저는 3 월 19 일에 발표되었으므로 회사는 잠재적 인 보안 취약점을 탐지하기 위해 친숙한 해커가이를 공격하도록 허용했습니다.
연구원들은 웹 브라우저에서 두 가지 문제를 확인했습니다. 바로 다음 날, 회사는 Firefox 66.0.1 업데이트에서 두 가지를 모두 수정하는 패치를 출시하기로 결정했습니다.
모르는 분 Pwn2Own, 기본적으로 매년 열리는 해킹 대회입니다. 보안 연구원에게 새로운 제로 데이 버그를 시연 할 수있는 좋은 기회를 제공합니다.
그들의 노력에 대한 대가로 Trend Micro의 ZDI (Zero Day Initiative)는 상당한 금액을 보상합니다.
그만큼 플루토 듀오는 그것을 다시합니다. 그들은 유형 혼란을 사용했습니다. #가장자리, 커널의 경쟁 조건, 경계를 벗어난 쓰기 #VMware 가상 클라이언트의 브라우저에서 호스트 OS의 코드 실행으로 이동합니다. 그들은 $ 130K와 13 Master of Pwn 포인트를 얻습니다. pic.twitter.com/mD13kozJLv
— Zero Day Initiative (@thezdi) 2019 년 3 월 21 일
Pwn2Own 모집
새로운 시연을 한 연구원 Oracle VirtualBox, Apple Safari 및 VMware 워크 스테이션의 취약점은 Pwn2Own 2019 첫날에 $ 240,000를 받았습니다.
둘째 날 ZDI는 Microsoft의 Edge 및 Mozilla Firefox 브라우저에서 새로운 버그를 발견 한 연구원들에게 27 만 달러를 지급했습니다.
이것이 연구원들이 해킹 Edge:
이것이 가상 머신 클라이언트의 브라우저에서 기본 하이퍼 바이저에서 코드를 실행하는 데 걸린 전부입니다. Microsoft Edge 브라우저에서 유형 혼동 버그로 시작한 다음 Windows 커널에서 경쟁 조건을 사용하고 VMware 워크 스테이션에서 범위를 벗어난 쓰기를 사용했습니다.
가장 중요한 것은 Firefox 66의 커널 에스컬레이션 결함은 Richard Zhu에 의해 입증되었으며 공식적으로 Fluoroacetate로 알려진 Amat Cama는 $ 50,000의 상을 받았습니다. Niklas Baumstark 사용Firefox 66.0을 악용하는 샌드 박스 이스케이프 기술로 $ 40,000의 상을 받았습니다.
이 모든 것 Microsoft와 Mozilla에 취약점이보고되었으며 회사는 패치 작업을 진행 중이며 다음 업데이트에서 릴리스 될 예정입니다.
확인해야하는 관련 기사 :
- Chrome 및 Firefox에서 Windows Defender Application Guard 다운로드
- Microsoft Edge에서 이전 세션을 복원하는 방법
- Firefox 및 Chrome은 Microsoft Edge 보안 표준과 일치하지 않습니다.
