„Microsoft Edge“ buvo nulaužta „Pwn2Own 2019“, gaunamas pataisas

2019 m. „Pwn2Own“

Saugumo tyrėjai įsilaužė į „Microsoft Edge“ ir „Mozilla Firefox“ ir uždirbo 270 tūkst. Dolerių piniginį prizą „Pwn2Own“ įsilaužimo įvykis.

The „Firefox 66“ naršyklė buvo paskelbta kovo 19 d., Todėl bendrovė leido draugiškiems įsilaužėliams ją užpulti, kad aptiktų galimas saugumo spragas.

Tyrėjai žiniatinklio naršyklėje nustatė dvi problemas. Jau kitą dieną bendrovė nusprendė išleisti pataisą, kad pataisytų juos abu „Firefox 66.0.1“ atnaujinime.

Tie, kurie to nežino „Pwn2Own“, tai iš esmės yra kasmetinės įsilaužimo varžybos. Tai suteikia puikią galimybę saugumo tyrėjams, kad jie galėtų pademonstruoti naujas nulinės dienos klaidas.

Mainais už jų pastangas „Trend Micro“ nulio dienos iniciatyva (ZDI) apdovanoja juos gražia suma.

The @ fluoracetatas duetas tai daro dar kartą. Jie naudojo tipo painiavą #Edge, rasės sąlyga branduolyje, tada rašoma už ribų #VMware pereiti iš virtualios kliento naršyklės prie pagrindinio OS kodo vykdymo. Jie uždirba 130 000 USD plius 13 „Master of Pwn“ taškų. pic.twitter.com/mD13kozJLv

- Nulinės dienos iniciatyva (@thezdi) 2019 m. Kovo 21 d

„Pwn2Own Roundup“

Tyrėjai, kurie pademonstravo naujus pirmąją „Pwn2Own 2019“ dieną „Oracle VirtualBox“, „Apple Safari“ ir „VMware“ darbo vietos pažeidžiamumai buvo skirti 240 000 USD.

Antrosios dienos link ZDI skyrė 270 000 USD sumą tiems tyrėjams, kurie nustatė naujas „Microsoft Edge“ ir „Mozilla Firefox“ naršyklės klaidas.

Taip mokslininkams pavyko nulaužti Edge:

Tai viskas, ko reikėjo pereinant nuo virtualios mašinos kliento naršyklės iki pagrindinio hipervizoriaus kodo vykdymo. Jie pradėjo nuo klaidos tipo klaidos „Microsoft Edge“ naršyklėje, tada naudojo lenktynių sąlygą „Windows“ branduolyje, o po to „VMware“ darbo stotyje parašė ribas.

Svarbiausia, kad „Firefox 66“ branduolio eskalacijos ydą parodė Richardas Zhu, o Amatas Cama, oficialiai žinomas kaip fluoracetatas, gavo apdovanojimą už 50 000 USD. Niklas Baumstark naudojosmėlio dėžės pabėgimo technika, skirta išnaudoti „Firefox 66.0“, ir gavo 40 000 USD apdovanojimą.

Visa tai apie pažeidžiamumą buvo pranešta „Microsoft“ ir „Mozilla“, o tikimasi, kad bendrovės, plečiančios pataisas, bus išleistos per kitus atnaujinimus.

Susiję straipsniai, kuriuos reikia patikrinti:

  • Atsisiųskite „Windows Defender Application Guard“ iš „Chrome“ ir „Firefox“
  • Kaip atkurti ankstesnius seansus „Microsoft Edge“
  • „Firefox“ ir „Chrome“ negali atitikti „Microsoft Edge“ saugos standartų
„Malwarebytes“ išleidžia naują naršyklės plėtinį, skirtą „Chrome“ ir „Firefox“

„Malwarebytes“ išleidžia naują naršyklės plėtinį, skirtą „Chrome“ ir „Firefox“„Malwarebytes“ ProblemosKibernetinė Sauga„Firefox“ Vadovai„Google Chrome“

Bandyti Opera, jau įdiegta naršyklė su įvairiomis funkcijomis:Puiki naršyklė, tokia kaip „Opera“, turi daugumą funkcijų jau po gaubtu. Štai kas įtraukta pagal numatytuosius nustatymus:Integruotas V...

Skaityti daugiau
Tyrėjai rado dar vieną nepataisytą „Windows“ klaidą

Tyrėjai rado dar vieną nepataisytą „Windows“ klaidą„Microsoft“Kibernetinė Sauga

Saugumo ekspertai aptiko „Windows“ pažeidžiamumą, kuris buvo įvertintas kaip vidutinio sunkumo. Tai leidžia nuotoliniams užpuolikams vykdyti savavališką kodą ir jis egzistuoja tvarkant klaidų objek...

Skaityti daugiau
„WannaCry“ kūrėjai grasina išleisti daugiau kenkėjiškų programų į „Windows 10“

„WannaCry“ kūrėjai grasina išleisti daugiau kenkėjiškų programų į „Windows 10“„Windows 10“Kibernetinė Sauga

„Shadow Brokers“ yra įsilaužimų grupė, nutekinusi tariamus NSA įsilaužimo įrankius, kurie buvo naudojami praėjusios savaitės „WannaCrypt“ chaosas, leidžiantis kenkėjiškomis programomis plačiai gink...

Skaityti daugiau