Microsoft Edge is gehackt bij Pwn2Own 2019, patch komt eraan

Pwn2Own 2019

Beveiligingsonderzoekers hebben Microsoft Edge en Mozilla Firefox goed gehackt en verdienden een geldprijs van $ 270.000 bij Pwn2Own-hackevenement.

De Firefox 66-browser werd op 19 maart aangekondigd, dus het bedrijf liet vriendelijke hackers het aanvallen om mogelijke beveiligingsproblemen op te sporen.

De onderzoekers identificeerden twee problemen in de webbrowser. De volgende dag besloot het bedrijf een patch uit te brengen om beide te repareren in de Firefox 66.0.1-update.

Degenen die niet op de hoogte zijn van Pwn2Own, het is eigenlijk een jaarlijkse hackwedstrijd. Het biedt een geweldige kans voor beveiligingsonderzoekers, zodat ze nieuwe zero-day bugs kunnen demonstreren.

In ruil voor hun inspanningen beloont Trend Micro's Zero Day Initiative (ZDI) hen met een mooi bedrag.

De @fluoracetaat duo doet het weer. Ze gebruikten een typeverwarring in #Rand, een race-conditie in de kernel, dan een out-of-bounds schrijven in #VMware om van een browser in een virtuele client naar het uitvoeren van code op het host-besturingssysteem te gaan. Ze verdienen $130K plus 13 Master of Pwn-punten.

pic.twitter.com/mD13kozJLv

— Zero Day-initiatief (@thezdi) 21 maart 2019

Pwn2Own Roundup

De onderzoekers die nieuwe kwetsbaarheden in Oracle VirtualBox, Apple Safari en VMware-werkstation kregen $ 240.000 op de eerste dag van Pwn2Own 2019.

Op weg naar de tweede dag kende ZDI een bedrag van $ 270.000 toe aan de onderzoekers die nieuwe bugs in Microsoft's Edge en Mozilla Firefox-browser identificeerden.

Dit is hoe onderzoekers erin slaagden om hack Edge:

Dat was alles wat nodig was om van een browser in een virtuele machineclient naar het uitvoeren van code op de onderliggende hypervisor te gaan. Ze begonnen met een typeverwarringsbug in de Microsoft Edge-browser, gebruikten vervolgens een race-conditie in de Windows-kernel, gevolgd door een out-of-bounds schrijven in VMware-werkstation

Het belangrijkste is dat de kernel-escalatiefout in Firefox 66 werd gedemonstreerd door Richard Zhu en Amat Cama, officieel bekend als Fluoroacetate, ontving een prijs van $ 50.000. Niklas Baumstark gebruikteen sandbox-ontsnappingstechniek om Firefox 66.0 te exploiteren en ontving een prijs van $ 40.000.

Al deze Er zijn kwetsbaarheden gemeld aan Microsoft en Mozilla, en de bedrijven werken aan de patches die naar verwachting in de volgende updates zullen worden uitgebracht.

GERELATEERDE ARTIKELEN DIE U MOET BEKIJKEN:

  • Download Windows Defender Application Guard op Chrome en Firefox
  • Vorige sessies herstellen in Microsoft Edge
  • Firefox en Chrome kunnen de Microsoft Edge-beveiligingsnormen niet evenaren
5 beste VPN's voor Bluestacks om Android-apps en -games op pc uit te voeren

5 beste VPN's voor Bluestacks om Android-apps en -games op pc uit te voerenVpnBluestacksCyberbeveiliging

BlueStacks is de go-to-service voor het emuleren van het Android-besturingssysteem op uw pc.U kunt eenvoudig toegang krijgen tot alle geografisch beperkte inhoud in de Play Store door een VPN te ge...

Lees verder
Dubbele sleutelcodering verhoogt de gegevensbeveiliging van Microsoft 365

Dubbele sleutelcodering verhoogt de gegevensbeveiliging van Microsoft 365Microsoft 365Cyberbeveiliging

Als u een Microsoft 365 E5- of Office 365 E5-gebruiker bent, kunt u zich aanmelden voor de nieuwe Double Key Encryption-service.Double Key Encryption verhoogt de beveiliging van uw bedrijfskritieke...

Lees verder
Microsoft lost 5 RDP-beveiligingsbugs op in alle Windows 10-edities

Microsoft lost 5 RDP-beveiligingsbugs op in alle Windows 10-editiesBureaubladverbinding Op AfstandWindows 10Cyberbeveiliging

14 januari Patch dinsdag is eindelijk hier en het brengt veel beveiligingsverbeteringen met zich mee voor alle Windows 10-versies.Terwijl Microsoft's nieuwste beveiligingsproblemen betreffende de c...

Lees verder