„Microsoft Edge“ buvo nulaužta „Pwn2Own 2019“, gaunamas pataisas

2019 m. „Pwn2Own“

Saugumo tyrėjai įsilaužė į „Microsoft Edge“ ir „Mozilla Firefox“ ir uždirbo 270 tūkst. Dolerių piniginį prizą „Pwn2Own“ įsilaužimo įvykis.

The „Firefox 66“ naršyklė buvo paskelbta kovo 19 d., Todėl bendrovė leido draugiškiems įsilaužėliams ją užpulti, kad aptiktų galimas saugumo spragas.

Tyrėjai žiniatinklio naršyklėje nustatė dvi problemas. Jau kitą dieną bendrovė nusprendė išleisti pataisą, kad pataisytų juos abu „Firefox 66.0.1“ atnaujinime.

Tie, kurie to nežino „Pwn2Own“, tai iš esmės yra kasmetinės įsilaužimo varžybos. Tai suteikia puikią galimybę saugumo tyrėjams, kad jie galėtų pademonstruoti naujas nulinės dienos klaidas.

Mainais už jų pastangas „Trend Micro“ nulio dienos iniciatyva (ZDI) apdovanoja juos gražia suma.

The @ fluoracetatas duetas tai daro dar kartą. Jie naudojo tipo painiavą #Edge, rasės sąlyga branduolyje, tada rašoma už ribų #VMware pereiti iš virtualios kliento naršyklės prie pagrindinio OS kodo vykdymo. Jie uždirba 130 000 USD plius 13 „Master of Pwn“ taškų. pic.twitter.com/mD13kozJLv

- Nulinės dienos iniciatyva (@thezdi) 2019 m. Kovo 21 d

„Pwn2Own Roundup“

Tyrėjai, kurie pademonstravo naujus pirmąją „Pwn2Own 2019“ dieną „Oracle VirtualBox“, „Apple Safari“ ir „VMware“ darbo vietos pažeidžiamumai buvo skirti 240 000 USD.

Antrosios dienos link ZDI skyrė 270 000 USD sumą tiems tyrėjams, kurie nustatė naujas „Microsoft Edge“ ir „Mozilla Firefox“ naršyklės klaidas.

Taip mokslininkams pavyko nulaužti Edge:

Tai viskas, ko reikėjo pereinant nuo virtualios mašinos kliento naršyklės iki pagrindinio hipervizoriaus kodo vykdymo. Jie pradėjo nuo klaidos tipo klaidos „Microsoft Edge“ naršyklėje, tada naudojo lenktynių sąlygą „Windows“ branduolyje, o po to „VMware“ darbo stotyje parašė ribas.

Svarbiausia, kad „Firefox 66“ branduolio eskalacijos ydą parodė Richardas Zhu, o Amatas Cama, oficialiai žinomas kaip fluoracetatas, gavo apdovanojimą už 50 000 USD. Niklas Baumstark naudojosmėlio dėžės pabėgimo technika, skirta išnaudoti „Firefox 66.0“, ir gavo 40 000 USD apdovanojimą.

Visa tai apie pažeidžiamumą buvo pranešta „Microsoft“ ir „Mozilla“, o tikimasi, kad bendrovės, plečiančios pataisas, bus išleistos per kitus atnaujinimus.

Susiję straipsniai, kuriuos reikia patikrinti:

  • Atsisiųskite „Windows Defender Application Guard“ iš „Chrome“ ir „Firefox“
  • Kaip atkurti ankstesnius seansus „Microsoft Edge“
  • „Firefox“ ir „Chrome“ negali atitikti „Microsoft Edge“ saugos standartų
Užblokuokite „WannaCry“ / „WannaCrypt“ atakas atsisiųsdami šiuos „Windows“ naujinimus

Užblokuokite „WannaCry“ / „WannaCrypt“ atakas atsisiųsdami šiuos „Windows“ naujinimusKibernetinė Sauga

Tūkstančiai kompiuterių pastaruoju metu buvo paveikti užburto WannaCry ir „WannaCrypt“ kenkėjiškų programų. Nors atrodo, kad kibernetinės atakos sulėtėjo, karas niekada nesibaigia.Kadangi prevencij...

Skaityti daugiau
KB4012598 pataiso „Windows XP“ / „Windows 8“ nuo „WannaCry“ išpirkos programos

KB4012598 pataiso „Windows XP“ / „Windows 8“ nuo „WannaCry“ išpirkos programosRansomwareKibernetinė Sauga

„WannaCrypt“ išpirkos programa paveikė dešimtis tūkstančių kompiuterių, kuriuose veikia įvairios „Windows“ versijos visame pasaulyje. Kenkėjiška programa pirmiausia buvo nukreipta į pasenusias sis...

Skaityti daugiau
„Microsoft BitLocker“ šifravimo raktas buvo nulaužtas per pigų FGPA

„Microsoft BitLocker“ šifravimo raktas buvo nulaužtas per pigų FGPA„Bitlocker“Kibernetinė Sauga

Saugumo tyrėjai nustatė naują pažeidžiamumą 2005 m „Bitlocker“ bandant naudoti įrankį jo pagrindinėje ir mažiausiai įkyrioje konfigūracijoje. „BitLocker“ iš esmės yra viso tūrio šifravimo sistema, ...

Skaityti daugiau