Beveiligingsonderzoekers hebben Microsoft Edge en Mozilla Firefox goed gehackt en verdienden een geldprijs van $ 270.000 bij Pwn2Own-hackevenement.
De Firefox 66-browser werd op 19 maart aangekondigd, dus het bedrijf liet vriendelijke hackers het aanvallen om mogelijke beveiligingsproblemen op te sporen.
De onderzoekers identificeerden twee problemen in de webbrowser. De volgende dag besloot het bedrijf een patch uit te brengen om beide te repareren in de Firefox 66.0.1-update.
Degenen die niet op de hoogte zijn van Pwn2Own, het is eigenlijk een jaarlijkse hackwedstrijd. Het biedt een geweldige kans voor beveiligingsonderzoekers, zodat ze nieuwe zero-day bugs kunnen demonstreren.
In ruil voor hun inspanningen beloont Trend Micro's Zero Day Initiative (ZDI) hen met een mooi bedrag.
De @fluoracetaat duo doet het weer. Ze gebruikten een typeverwarring in #Rand, een race-conditie in de kernel, dan een out-of-bounds schrijven in #VMware om van een browser in een virtuele client naar het uitvoeren van code op het host-besturingssysteem te gaan. Ze verdienen $130K plus 13 Master of Pwn-punten.
pic.twitter.com/mD13kozJLv— Zero Day-initiatief (@thezdi) 21 maart 2019
Pwn2Own Roundup
De onderzoekers die nieuwe kwetsbaarheden in Oracle VirtualBox, Apple Safari en VMware-werkstation kregen $ 240.000 op de eerste dag van Pwn2Own 2019.
Op weg naar de tweede dag kende ZDI een bedrag van $ 270.000 toe aan de onderzoekers die nieuwe bugs in Microsoft's Edge en Mozilla Firefox-browser identificeerden.
Dit is hoe onderzoekers erin slaagden om hack Edge:
Dat was alles wat nodig was om van een browser in een virtuele machineclient naar het uitvoeren van code op de onderliggende hypervisor te gaan. Ze begonnen met een typeverwarringsbug in de Microsoft Edge-browser, gebruikten vervolgens een race-conditie in de Windows-kernel, gevolgd door een out-of-bounds schrijven in VMware-werkstation
Het belangrijkste is dat de kernel-escalatiefout in Firefox 66 werd gedemonstreerd door Richard Zhu en Amat Cama, officieel bekend als Fluoroacetate, ontving een prijs van $ 50.000. Niklas Baumstark gebruikteen sandbox-ontsnappingstechniek om Firefox 66.0 te exploiteren en ontving een prijs van $ 40.000.
Al deze Er zijn kwetsbaarheden gemeld aan Microsoft en Mozilla, en de bedrijven werken aan de patches die naar verwachting in de volgende updates zullen worden uitgebracht.
GERELATEERDE ARTIKELEN DIE U MOET BEKIJKEN:
- Download Windows Defender Application Guard op Chrome en Firefox
- Vorige sessies herstellen in Microsoft Edge
- Firefox en Chrome kunnen de Microsoft Edge-beveiligingsnormen niet evenaren
