Microsoft Edge ble hacket på Pwn2Own 2019, patch innkommende

Pwn2Own 2019

Sikkerhetsforskere hacket Microsoft Edge og Mozilla Firefox riktig og tjente en pengepremie på $ 270K på Pwn2Own hacking hendelse.

De Firefox 66 nettleser ble kunngjort 19. mars, så selskapet lot vennlige hackere angripe den for å oppdage potensielle sikkerhetsproblemer.

Forskerne identifiserte to problemer i nettleseren. Allerede neste dag bestemte selskapet seg for å gi ut en oppdatering for å fikse dem begge i Firefox 66.0.1-oppdateringen.

De som ikke er klar over Pwn2Own, det er i utgangspunktet en årlig hacking-konkurranse. Det gir en flott mulighet for sikkerhetsforskere slik at de kan demonstrere nye null-dagers bugs.

Til gjengjeld for sin innsats belønner Trend Micro’s Zero Day Initiative (ZDI) dem med et kjekt beløp.

De @fluoracetat duo gjør det igjen. De brukte en type forvirring i #Kant, en rase-tilstand i kjernen, så skriver en utenfor-grensen inn #VMware å gå fra en nettleser i en virtuell klient til å utføre kode på verts-operativsystemet. De tjener $ 130 000 pluss 13 Master of Pwn-poeng. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21. mars 2019

Pwn2Own Roundup

Forskerne som demonstrerte nye sårbarheter i Oracle VirtualBox, Apple Safari og VMware arbeidsstasjon ble tildelt $ 240 000 den første dagen i Pwn2Own 2019.

Mot den andre dagen tildelte ZDI et beløp på $ 270.000 til de forskerne som identifiserte nye feil i Microsofts Edge- og Mozilla Firefox-nettleser.

Slik klarte forskere å hack Edge:

Det er alt som trengs for å gå fra en nettleser i en virtuell maskinklient til å utføre kode på den underliggende hypervisoren. De startet med en type forvirringsfeil i Microsoft Edge-nettleseren, og brukte deretter en løpetilstand i Windows-kjernen etterfulgt av en ut-av-grens-skriving i VMware-arbeidsstasjonen

Viktigst, den kjerneopptrappingsfeil i Firefox 66 ble demonstrert av Richard Zhu og Amat Cama, offisielt kjent som Fluoroacetate, mottok en pris for $ 50.000. Niklas Baumstark brukten rømningsteknikk for sandkasse for å utnytte Firefox 66.0 og mottok en pris på $ 40.000.

Alle disse det er rapportert om sårbarheter til Microsoft og Mozilla, og selskapene jobber med oppdateringene forventes å komme ut i de neste oppdateringene.

RELATERTE ARTIKLER DU TRENGER Å KONTROLLERE:

  • Last ned Windows Defender Application Guard på Chrome og Firefox
  • Slik gjenoppretter du tidligere økter i Microsoft Edge
  • Firefox og Chrome samsvarer ikke med Microsoft Edge sikkerhetsstandarder
Office 365 ATP for å få nye anti-phishing-forsterkninger

Office 365 ATP for å få nye anti-phishing-forsterkningerOffice 365Cybersikkerhet

Office 365 ATP får nye funksjoner mot phishing, anti-spam og anti-malware.Trusseltypefilter for all e-postvisning, spam-dom i Threat Explorer og mer vil lanseres i løpet av 3. kvartal 2020. For mer...

Les mer
Alteryx lekkasje av personopplysninger påvirker millioner: Er du berørt?

Alteryx lekkasje av personopplysninger påvirker millioner: Er du berørt?PersonvernCybersikkerhet

Å holde din personlige informasjon trygg blir vanskeligere og vanskeligere. Hackere jobber dag og natt med å få tak i dine personlige data, nettsteder bruker informasjonskapsler og annet sporingsve...

Les mer
Microsoft 365-brukere: pass opp for SharePoint-phishing-angrep

Microsoft 365-brukere: pass opp for SharePoint-phishing-angrepMicrosoft 365Cybersikkerhet

Trusselaktører sendte falske SharePoint-e-poster til ansatte i forskjellige organisasjoner som en del av en phishing-kampanje.Angriperne forsøkte å stjele brukernes sikkerhetsopplysninger for Micro...

Les mer