Microsoft Edge is gehackt bij Pwn2Own 2019, patch komt eraan

Pwn2Own 2019

Beveiligingsonderzoekers hebben Microsoft Edge en Mozilla Firefox goed gehackt en verdienden een geldprijs van $ 270.000 bij Pwn2Own-hackevenement.

De Firefox 66-browser werd op 19 maart aangekondigd, dus het bedrijf liet vriendelijke hackers het aanvallen om mogelijke beveiligingsproblemen op te sporen.

De onderzoekers identificeerden twee problemen in de webbrowser. De volgende dag besloot het bedrijf een patch uit te brengen om beide te repareren in de Firefox 66.0.1-update.

Degenen die niet op de hoogte zijn van Pwn2Own, het is eigenlijk een jaarlijkse hackwedstrijd. Het biedt een geweldige kans voor beveiligingsonderzoekers, zodat ze nieuwe zero-day bugs kunnen demonstreren.

In ruil voor hun inspanningen beloont Trend Micro's Zero Day Initiative (ZDI) hen met een mooi bedrag.

De @fluoracetaat duo doet het weer. Ze gebruikten een typeverwarring in #Rand, een race-conditie in de kernel, dan een out-of-bounds schrijven in #VMware om van een browser in een virtuele client naar het uitvoeren van code op het host-besturingssysteem te gaan. Ze verdienen $130K plus 13 Master of Pwn-punten.

pic.twitter.com/mD13kozJLv

— Zero Day-initiatief (@thezdi) 21 maart 2019

Pwn2Own Roundup

De onderzoekers die nieuwe kwetsbaarheden in Oracle VirtualBox, Apple Safari en VMware-werkstation kregen $ 240.000 op de eerste dag van Pwn2Own 2019.

Op weg naar de tweede dag kende ZDI een bedrag van $ 270.000 toe aan de onderzoekers die nieuwe bugs in Microsoft's Edge en Mozilla Firefox-browser identificeerden.

Dit is hoe onderzoekers erin slaagden om hack Edge:

Dat was alles wat nodig was om van een browser in een virtuele machineclient naar het uitvoeren van code op de onderliggende hypervisor te gaan. Ze begonnen met een typeverwarringsbug in de Microsoft Edge-browser, gebruikten vervolgens een race-conditie in de Windows-kernel, gevolgd door een out-of-bounds schrijven in VMware-werkstation

Het belangrijkste is dat de kernel-escalatiefout in Firefox 66 werd gedemonstreerd door Richard Zhu en Amat Cama, officieel bekend als Fluoroacetate, ontving een prijs van $ 50.000. Niklas Baumstark gebruikteen sandbox-ontsnappingstechniek om Firefox 66.0 te exploiteren en ontving een prijs van $ 40.000.

Al deze Er zijn kwetsbaarheden gemeld aan Microsoft en Mozilla, en de bedrijven werken aan de patches die naar verwachting in de volgende updates zullen worden uitgebracht.

GERELATEERDE ARTIKELEN DIE U MOET BEKIJKEN:

  • Download Windows Defender Application Guard op Chrome en Firefox
  • Vorige sessies herstellen in Microsoft Edge
  • Firefox en Chrome kunnen de Microsoft Edge-beveiligingsnormen niet evenaren
Nieuwe Windows 10-updates voorkomen dat browsers beperkte gegevens laden

Nieuwe Windows 10-updates voorkomen dat browsers beperkte gegevens ladenWindows 10 NieuwsWindows 10 UpdatesCyberbeveiliging

De nieuwste Patch Tuesday-updates van Microsoft hebben 54 fouten verholpen. Van deze 54 problemen hebben 15 beveiligingsproblemen betrekking op de browsers van Microsoft. Dit laat alleen maar zien ...

Lees verder
Microsoft haast zich om een ​​enorme exploit te patchen die van invloed is op Amerikaanse militaire pc's

Microsoft haast zich om een ​​enorme exploit te patchen die van invloed is op Amerikaanse militaire pc'sPatch DinsdagCyberbeveiliging

De eerste Patch Tuesday van 2020 staat voor de deur en het lijkt erop dat Microsoft het jaar niet zo goed begint.Na een zeer rustige Patch dinsdag van december 2019 met weinig tot geen wijzigingen,...

Lees verder
Update WinRAR om een ​​19 jaar oud beveiligingslek te verhelpen

Update WinRAR om een ​​19 jaar oud beveiligingslek te verhelpenWinrarCyberbeveiliging

We hebben de bestandsextractiesoftware WinRAR voor eeuwen. Denk je dat WinRAR is een veilige optie? Het antwoord is nee!. Verrassend genoeg heeft de software zojuist een 19 jaar oude beveiligingsk...

Lees verder