Microsoft Edge is gehackt bij Pwn2Own 2019, patch komt eraan

Pwn2Own 2019

Beveiligingsonderzoekers hebben Microsoft Edge en Mozilla Firefox goed gehackt en verdienden een geldprijs van $ 270.000 bij Pwn2Own-hackevenement.

De Firefox 66-browser werd op 19 maart aangekondigd, dus het bedrijf liet vriendelijke hackers het aanvallen om mogelijke beveiligingsproblemen op te sporen.

De onderzoekers identificeerden twee problemen in de webbrowser. De volgende dag besloot het bedrijf een patch uit te brengen om beide te repareren in de Firefox 66.0.1-update.

Degenen die niet op de hoogte zijn van Pwn2Own, het is eigenlijk een jaarlijkse hackwedstrijd. Het biedt een geweldige kans voor beveiligingsonderzoekers, zodat ze nieuwe zero-day bugs kunnen demonstreren.

In ruil voor hun inspanningen beloont Trend Micro's Zero Day Initiative (ZDI) hen met een mooi bedrag.

De @fluoracetaat duo doet het weer. Ze gebruikten een typeverwarring in #Rand, een race-conditie in de kernel, dan een out-of-bounds schrijven in #VMware om van een browser in een virtuele client naar het uitvoeren van code op het host-besturingssysteem te gaan. Ze verdienen $130K plus 13 Master of Pwn-punten.

pic.twitter.com/mD13kozJLv

— Zero Day-initiatief (@thezdi) 21 maart 2019

Pwn2Own Roundup

De onderzoekers die nieuwe kwetsbaarheden in Oracle VirtualBox, Apple Safari en VMware-werkstation kregen $ 240.000 op de eerste dag van Pwn2Own 2019.

Op weg naar de tweede dag kende ZDI een bedrag van $ 270.000 toe aan de onderzoekers die nieuwe bugs in Microsoft's Edge en Mozilla Firefox-browser identificeerden.

Dit is hoe onderzoekers erin slaagden om hack Edge:

Dat was alles wat nodig was om van een browser in een virtuele machineclient naar het uitvoeren van code op de onderliggende hypervisor te gaan. Ze begonnen met een typeverwarringsbug in de Microsoft Edge-browser, gebruikten vervolgens een race-conditie in de Windows-kernel, gevolgd door een out-of-bounds schrijven in VMware-werkstation

Het belangrijkste is dat de kernel-escalatiefout in Firefox 66 werd gedemonstreerd door Richard Zhu en Amat Cama, officieel bekend als Fluoroacetate, ontving een prijs van $ 50.000. Niklas Baumstark gebruikteen sandbox-ontsnappingstechniek om Firefox 66.0 te exploiteren en ontving een prijs van $ 40.000.

Al deze Er zijn kwetsbaarheden gemeld aan Microsoft en Mozilla, en de bedrijven werken aan de patches die naar verwachting in de volgende updates zullen worden uitgebracht.

GERELATEERDE ARTIKELEN DIE U MOET BEKIJKEN:

  • Download Windows Defender Application Guard op Chrome en Firefox
  • Vorige sessies herstellen in Microsoft Edge
  • Firefox en Chrome kunnen de Microsoft Edge-beveiligingsnormen niet evenaren
5+ beste antivirussoftware voor Windows XP om vandaag te gebruiken

5+ beste antivirussoftware voor Windows XP om vandaag te gebruikenWindows XpAntivirusCyberbeveiliging

ESET NOD32 Antivirus is een van de lichtste oplossingen die er zijn, dus u kunt ervoor zorgen dat het ook op uw oude Windows XP-pc draait. Naast desktopversies is ESET ook beschikbaar op Windows Se...

Lees verder
Hoe een NukeBot trojan-aanval te voorkomen?

Hoe een NukeBot trojan-aanval te voorkomen?MalwareCyberbeveiliging

De NukeBot Banking-malware kan van invloed zijn op banksystemen, maar kan ook uw pc infecteren.Deze dreiging is eigenlijk een Trojaans paard dat meestal via e-mail in uw systeem terechtkomt.Het ops...

Lees verder
5 beste software voor het versleutelen van toetsaanslagen voor Windows

5 beste software voor het versleutelen van toetsaanslagen voor WindowsSoftwareCyberbeveiligingEncryptie

Als u wilt voorkomen dat keyloggers uw echte sleutels opnemen of vergrendelen, heeft u de beste sleutelcoderingstools voor Windows nodig.Hieronder vindt u een geweldige app waarmee u uw dagelijkse ...

Lees verder