Microsoft Edge is gehackt bij Pwn2Own 2019, patch komt eraan

Pwn2Own 2019

Beveiligingsonderzoekers hebben Microsoft Edge en Mozilla Firefox goed gehackt en verdienden een geldprijs van $ 270.000 bij Pwn2Own-hackevenement.

De Firefox 66-browser werd op 19 maart aangekondigd, dus het bedrijf liet vriendelijke hackers het aanvallen om mogelijke beveiligingsproblemen op te sporen.

De onderzoekers identificeerden twee problemen in de webbrowser. De volgende dag besloot het bedrijf een patch uit te brengen om beide te repareren in de Firefox 66.0.1-update.

Degenen die niet op de hoogte zijn van Pwn2Own, het is eigenlijk een jaarlijkse hackwedstrijd. Het biedt een geweldige kans voor beveiligingsonderzoekers, zodat ze nieuwe zero-day bugs kunnen demonstreren.

In ruil voor hun inspanningen beloont Trend Micro's Zero Day Initiative (ZDI) hen met een mooi bedrag.

De @fluoracetaat duo doet het weer. Ze gebruikten een typeverwarring in #Rand, een race-conditie in de kernel, dan een out-of-bounds schrijven in #VMware om van een browser in een virtuele client naar het uitvoeren van code op het host-besturingssysteem te gaan. Ze verdienen $130K plus 13 Master of Pwn-punten.

pic.twitter.com/mD13kozJLv

— Zero Day-initiatief (@thezdi) 21 maart 2019

Pwn2Own Roundup

De onderzoekers die nieuwe kwetsbaarheden in Oracle VirtualBox, Apple Safari en VMware-werkstation kregen $ 240.000 op de eerste dag van Pwn2Own 2019.

Op weg naar de tweede dag kende ZDI een bedrag van $ 270.000 toe aan de onderzoekers die nieuwe bugs in Microsoft's Edge en Mozilla Firefox-browser identificeerden.

Dit is hoe onderzoekers erin slaagden om hack Edge:

Dat was alles wat nodig was om van een browser in een virtuele machineclient naar het uitvoeren van code op de onderliggende hypervisor te gaan. Ze begonnen met een typeverwarringsbug in de Microsoft Edge-browser, gebruikten vervolgens een race-conditie in de Windows-kernel, gevolgd door een out-of-bounds schrijven in VMware-werkstation

Het belangrijkste is dat de kernel-escalatiefout in Firefox 66 werd gedemonstreerd door Richard Zhu en Amat Cama, officieel bekend als Fluoroacetate, ontving een prijs van $ 50.000. Niklas Baumstark gebruikteen sandbox-ontsnappingstechniek om Firefox 66.0 te exploiteren en ontving een prijs van $ 40.000.

Al deze Er zijn kwetsbaarheden gemeld aan Microsoft en Mozilla, en de bedrijven werken aan de patches die naar verwachting in de volgende updates zullen worden uitgebracht.

GERELATEERDE ARTIKELEN DIE U MOET BEKIJKEN:

  • Download Windows Defender Application Guard op Chrome en Firefox
  • Vorige sessies herstellen in Microsoft Edge
  • Firefox en Chrome kunnen de Microsoft Edge-beveiligingsnormen niet evenaren
Windows Defender-update lost ernstige fouten bij het uitvoeren van externe code op

Windows Defender-update lost ernstige fouten bij het uitvoeren van externe code opWindows 7Cyberbeveiliging

Als Windows Defender jouw is belangrijkste antivirusprogramma, zorg ervoor dat u de nieuwste definitie-updates (1.1.14700.5) op uw computer uitvoert. Microsoft heeft zojuist een ernstige bug gepatc...

Lees verder
Oude door Intel aangedreven Windows-pc's krijgen geen Spectre-patches

Oude door Intel aangedreven Windows-pc's krijgen geen Spectre-patchesIntelCyberbeveiliging

Intel is een van de belangrijkste CPU-fabrikanten ter wereld, en dit roept de verantwoordelijkheid van het bedrijf op om de Meltdown en Spectre-kwetsbaarheden die eerder dit jaar de technologie-ind...

Lees verder
Google+ om nog eerder in het stof te bijten na groot gegevensverlies

Google+ om nog eerder in het stof te bijten na groot gegevensverliesNieuwsPrivacyCyberbeveiligingGoogle

Google heeft besloten Google+ nog eerder af te sluiten, vanwege een gegevensverlies dat maar liefst 52 miljoen gebruikers heeft getroffen. Zelfs volgens de normen van belangeloosheid die door de me...

Lees verder