Microsoft Edge ble hacket på Pwn2Own 2019, patch innkommende

Pwn2Own 2019

Sikkerhetsforskere hacket Microsoft Edge og Mozilla Firefox riktig og tjente en pengepremie på $ 270K på Pwn2Own hacking hendelse.

De Firefox 66 nettleser ble kunngjort 19. mars, så selskapet lot vennlige hackere angripe den for å oppdage potensielle sikkerhetsproblemer.

Forskerne identifiserte to problemer i nettleseren. Allerede neste dag bestemte selskapet seg for å gi ut en oppdatering for å fikse dem begge i Firefox 66.0.1-oppdateringen.

De som ikke er klar over Pwn2Own, det er i utgangspunktet en årlig hacking-konkurranse. Det gir en flott mulighet for sikkerhetsforskere slik at de kan demonstrere nye null-dagers bugs.

Til gjengjeld for sin innsats belønner Trend Micro’s Zero Day Initiative (ZDI) dem med et kjekt beløp.

De @fluoracetat duo gjør det igjen. De brukte en type forvirring i #Kant, en rase-tilstand i kjernen, så skriver en utenfor-grensen inn #VMware å gå fra en nettleser i en virtuell klient til å utføre kode på verts-operativsystemet. De tjener $ 130 000 pluss 13 Master of Pwn-poeng. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21. mars 2019

Pwn2Own Roundup

Forskerne som demonstrerte nye sårbarheter i Oracle VirtualBox, Apple Safari og VMware arbeidsstasjon ble tildelt $ 240 000 den første dagen i Pwn2Own 2019.

Mot den andre dagen tildelte ZDI et beløp på $ 270.000 til de forskerne som identifiserte nye feil i Microsofts Edge- og Mozilla Firefox-nettleser.

Slik klarte forskere å hack Edge:

Det er alt som trengs for å gå fra en nettleser i en virtuell maskinklient til å utføre kode på den underliggende hypervisoren. De startet med en type forvirringsfeil i Microsoft Edge-nettleseren, og brukte deretter en løpetilstand i Windows-kjernen etterfulgt av en ut-av-grens-skriving i VMware-arbeidsstasjonen

Viktigst, den kjerneopptrappingsfeil i Firefox 66 ble demonstrert av Richard Zhu og Amat Cama, offisielt kjent som Fluoroacetate, mottok en pris for $ 50.000. Niklas Baumstark brukten rømningsteknikk for sandkasse for å utnytte Firefox 66.0 og mottok en pris på $ 40.000.

Alle disse det er rapportert om sårbarheter til Microsoft og Mozilla, og selskapene jobber med oppdateringene forventes å komme ut i de neste oppdateringene.

RELATERTE ARTIKLER DU TRENGER Å KONTROLLERE:

  • Last ned Windows Defender Application Guard på Chrome og Firefox
  • Slik gjenoppretter du tidligere økter i Microsoft Edge
  • Firefox og Chrome samsvarer ikke med Microsoft Edge sikkerhetsstandarder
Massiv Twitter Twitter-hack hjulpet av stjålet VPN-legitimasjon

Massiv Twitter Twitter-hack hjulpet av stjålet VPN-legitimasjonPhishing AngrepTwitterVpnCybersikkerhet

Det beryktede Twitter-hacket fra juli ble angivelig gjort mulig ved hjelp av stjålne VPN-legitimasjoner fra eksterne ansatte på Twitter.Twitters hjemmearbeidende ansatte ble målrettet av et phishin...

Les mer
Microsofts juni-oppdatering løser større null-dagers sårbarhet, forhindrer nettverkstrafikkangrep

Microsofts juni-oppdatering løser større null-dagers sårbarhet, forhindrer nettverkstrafikkangrepWindows 10Cybersikkerhet

Nylige avsløringer antyder at Windows gjemmer ganske mange sårbarheter som hackere kan utnytte når som helst. Microsoft skryter av Edge-nettleseren, og hevder ingen null-dagers utnyttelser så langt...

Les mer
Windows Security blokkerer skadelig programvare og brukere fra å slette sikkerhetsoppdateringer

Windows Security blokkerer skadelig programvare og brukere fra å slette sikkerhetsoppdateringerMicrosoft Windows DefenderWindows 10 NyheterCybersikkerhet

Windows 10-brukere kan nå bruke Windows Security-appen til å aktivere en ny funksjon som heter Sabotasjebeskyttelse. Takket være dette nye sikkerhetsalternativet, vil ikke skadelig programvare elle...

Les mer