„Microsoft Edge“ buvo nulaužta „Pwn2Own 2019“, gaunamas pataisas

2019 m. „Pwn2Own“

Saugumo tyrėjai įsilaužė į „Microsoft Edge“ ir „Mozilla Firefox“ ir uždirbo 270 tūkst. Dolerių piniginį prizą „Pwn2Own“ įsilaužimo įvykis.

The „Firefox 66“ naršyklė buvo paskelbta kovo 19 d., Todėl bendrovė leido draugiškiems įsilaužėliams ją užpulti, kad aptiktų galimas saugumo spragas.

Tyrėjai žiniatinklio naršyklėje nustatė dvi problemas. Jau kitą dieną bendrovė nusprendė išleisti pataisą, kad pataisytų juos abu „Firefox 66.0.1“ atnaujinime.

Tie, kurie to nežino „Pwn2Own“, tai iš esmės yra kasmetinės įsilaužimo varžybos. Tai suteikia puikią galimybę saugumo tyrėjams, kad jie galėtų pademonstruoti naujas nulinės dienos klaidas.

Mainais už jų pastangas „Trend Micro“ nulio dienos iniciatyva (ZDI) apdovanoja juos gražia suma.

The @ fluoracetatas duetas tai daro dar kartą. Jie naudojo tipo painiavą #Edge, rasės sąlyga branduolyje, tada rašoma už ribų #VMware pereiti iš virtualios kliento naršyklės prie pagrindinio OS kodo vykdymo. Jie uždirba 130 000 USD plius 13 „Master of Pwn“ taškų. pic.twitter.com/mD13kozJLv

- Nulinės dienos iniciatyva (@thezdi) 2019 m. Kovo 21 d

„Pwn2Own Roundup“

Tyrėjai, kurie pademonstravo naujus pirmąją „Pwn2Own 2019“ dieną „Oracle VirtualBox“, „Apple Safari“ ir „VMware“ darbo vietos pažeidžiamumai buvo skirti 240 000 USD.

Antrosios dienos link ZDI skyrė 270 000 USD sumą tiems tyrėjams, kurie nustatė naujas „Microsoft Edge“ ir „Mozilla Firefox“ naršyklės klaidas.

Taip mokslininkams pavyko nulaužti Edge:

Tai viskas, ko reikėjo pereinant nuo virtualios mašinos kliento naršyklės iki pagrindinio hipervizoriaus kodo vykdymo. Jie pradėjo nuo klaidos tipo klaidos „Microsoft Edge“ naršyklėje, tada naudojo lenktynių sąlygą „Windows“ branduolyje, o po to „VMware“ darbo stotyje parašė ribas.

Svarbiausia, kad „Firefox 66“ branduolio eskalacijos ydą parodė Richardas Zhu, o Amatas Cama, oficialiai žinomas kaip fluoracetatas, gavo apdovanojimą už 50 000 USD. Niklas Baumstark naudojosmėlio dėžės pabėgimo technika, skirta išnaudoti „Firefox 66.0“, ir gavo 40 000 USD apdovanojimą.

Visa tai apie pažeidžiamumą buvo pranešta „Microsoft“ ir „Mozilla“, o tikimasi, kad bendrovės, plečiančios pataisas, bus išleistos per kitus atnaujinimus.

Susiję straipsniai, kuriuos reikia patikrinti:

  • Atsisiųskite „Windows Defender Application Guard“ iš „Chrome“ ir „Firefox“
  • Kaip atkurti ankstesnius seansus „Microsoft Edge“
  • „Firefox“ ir „Chrome“ negali atitikti „Microsoft Edge“ saugos standartų
Nauji saugaus branduolio kompiuteriai, skirti sutrukdyti „RobbinHood“ atakoms

Nauji saugaus branduolio kompiuteriai, skirti sutrukdyti „RobbinHood“ atakoms„Microsoft“„Windows 10“Kibernetinė Sauga

„Microsoft“ pateikė išsamią informaciją apie saugių branduolių kompiuterius - naujos klasės įrenginius, kuriuose įmontuotas įtvirtinimas nuo kibernetinio saugumo grėsmių.Bendrovė plėtojo įtvirtintu...

Skaityti daugiau
Šios programos jūsų kompiuteryje kasė kriptovaliutas

Šios programos jūsų kompiuteryje kasė kriptovaliutas„Windows 10“ Programos„Windows 10“ NaujienosKibernetinė Sauga

„Symantec“ neseniai „Windows“ parduotuvėje nustatė maždaug aštuonias kenkėjiškas „Windows 10“ programas, dėl kurių kaltinta mano kriptovaliutos fone. Pasak pranešimo, tūkstančiai vartotojų atsisiun...

Skaityti daugiau
Įspėjimas: Šie „Chrome“ skirti VPN plėtiniai nuteka jūsų DNS

Įspėjimas: Šie „Chrome“ skirti VPN plėtiniai nuteka jūsų DNSPrivatumasKibernetinė Sauga„Google“ Chromo Plėtiniai

Yra daugybė „Chrome“ plėtinių, kurie gali nutekinti jūsų DNS trečiosioms šalims.Kai taip atsitiks, turėtumėte pašalinti plėtinius arba gauti VPN paslaugą.Tačiau viskas gali būti šiek tiek sudėtingi...

Skaityti daugiau