Drošības pētnieki uzlauzuši Microsoft Edge un Mozilla Firefox tiesības un nopelnīja naudas balvu 270 000 ASV dolāru apmērā Datorurķēšanas notikums Pwn2Own.
The Firefox 66 pārlūks tika paziņots 19. martā, tāpēc uzņēmums ļāva draudzīgiem hakeriem tam uzbrukt, lai atklātu iespējamās drošības ievainojamības.
Pētnieki tīmekļa pārlūkprogrammā identificēja divus jautājumus. Jau nākamajā dienā uzņēmums nolēma izlaist plāksteri, lai tos abus labotu Firefox 66.0.1 atjauninājumā.
Tie, kas to nezina Pwn2Own, tas būtībā ir ikgadējs uzlaušanas konkurss. Tas nodrošina lielisku iespēju drošības pētniekiem, lai viņi varētu demonstrēt jaunas nulles dienas kļūdas.
Apmaiņā pret viņu centieniem Trend Micro’s Zero Day Initiative (ZDI) apbalvo viņus ar skaistu summu.
The @ fluoracetāts duets to dara vēlreiz. Gadā viņi izmantoja tipa neskaidrību # Edge, sacīkstes nosacījums kodolā, tad ieraksta ārpus robežas #VMware lai pārietu no pārlūkprogrammas virtuālajā klientā uz koda izpildi resursdatora OS. Viņi nopelna 130 000 USD plus 13 Master of Pwn punktus. pic.twitter.com/mD13kozJLv
- Nulles dienas iniciatīva (@thezdi) 2019. gada 21. marts
Pwn2Own Roundup
Pētnieki, kuri demonstrēja jaunus Oracle VirtualBox, Apple Safari un VMware darbstacijas ievainojamībām Pwn2Own 2019 pirmajā dienā tika piešķirti 240 000 USD.
Pārejot uz otro dienu, ZDI piešķīra 270 000 ASV dolāru summu tiem pētniekiem, kuri atklāja jaunas kļūdas Microsoft Edge un Mozilla Firefox pārlūkā.
Tas izdevās pētniekiem kapāt Edge:
Tas ir viss, kas bija nepieciešams, lai pārietu no pārlūkprogrammas virtuālās mašīnas klientā uz koda izpildi pamatā esošajā hipervizorā. Viņi sāka ar tipa sajaukšanas kļūdu pārlūkprogrammā Microsoft Edge, pēc tam izmantoja sacīkšu nosacījumus Windows kodolā, kam sekoja rakstīšana ārpus robežām VMware darbstacijā
Vissvarīgākais ir kodola eskalācijas kļūdu pārlūkprogrammā Firefox 66 parādīja Ričards Žu, un Amats Kama, kas oficiāli pazīstams kā fluoracetāts, saņēma balvu par 50 000 ASV dolāru. Niklas Baumstark izmantojasmilšu kastes aizbēgšanas paņēmiens, lai izmantotu Firefox 66.0, un saņēma balvu 40 000 ASV dolāru apmērā.
Visi no šiem par ievainojamībām ir ziņots Microsoft un Mozilla, un paredzams, ka uzņēmumi, kas strādā pie plāksteriem, tiks izlaisti nākamajos atjauninājumos.
SAISTĪTIE RAKSTI, KAS JUMS PĀRBAUDA:
- Lejupielādējiet Windows Defender Application Guard pārlūkos Chrome un Firefox
- Kā atjaunot iepriekšējās sesijas Microsoft Edge
- Firefox un Chrome nevar atbilst Microsoft Edge drošības standartiem
