Badacze bezpieczeństwa zhakowali Microsoft Edge i Mozilla Firefox i zdobyli nagrodę pieniężną w wysokości 270 000 USD w Zdarzenie hakerskie Pwn2Own.
Przeglądarka Firefox 66 została ogłoszona 19 marca, więc firma pozwoliła przyjaznym hakerom zaatakować ją w celu wykrycia potencjalnych luk w zabezpieczeniach.
Badacze zidentyfikowali dwa problemy w przeglądarce internetowej. Już następnego dnia firma zdecydowała się wydać łatkę, która naprawi oba z nich w aktualizacji Firefoksa 66.0.1.
Ci, którzy nie są świadomi Pwn2Own, to w zasadzie coroczne zawody hakerskie. To świetna okazja dla badaczy bezpieczeństwa, aby mogli zademonstrować nowe błędy zero-day.
W zamian za ich wysiłki inicjatywa Zero Day Initiative (ZDI) firmy Trend Micro nagradza ich sowitą kwotą.
@fluorooctan duet robi to ponownie. Użyli zamieszania typu w #Brzeg, stan wyścigu w jądrze, a następnie zapis poza granicami #VMware aby przejść z przeglądarki w kliencie wirtualnym do wykonywania kodu w systemie operacyjnym hosta. Zarabiają 130 000 $ plus 13 punktów Master of Pwn. pic.twitter.com/mD13kozJLv
— Inicjatywa Zero Day (@thezdi) 21 marca 2019 r.
Pwn2Own Roundup
Badacze, którzy wykazali nowe luki w zabezpieczeniach Oracle VirtualBox, Apple Safari i stacji roboczej VMware zostały nagrodzone 240 000 USD pierwszego dnia Pwn2Own 2019.
Przechodząc do drugiego dnia, ZDI przyznało kwotę 270 000 USD tym badaczom, którzy zidentyfikowali nowe błędy w przeglądarkach Microsoft Edge i Mozilla Firefox.
W ten sposób naukowcom udało się zhakować krawędź:
To wystarczyło, aby przejść od przeglądarki w kliencie maszyny wirtualnej do wykonywania kodu na bazowym hipernadzorcy. Zaczęli od błędu związanego z typami w przeglądarce Microsoft Edge, a następnie wykorzystali sytuację wyścigu w jądrze systemu Windows, a następnie zapis poza granicami na stacji roboczej VMware
Co najważniejsze, Błąd eskalacji jądra w Firefoksie 66 został zademonstrowany przez Richarda Zhu, a Amat Cama oficjalnie znany jako Fluoroacetate otrzymał nagrodę w wysokości 50 000 USD. Używany Niklas Baumstarktechnikę ucieczki w piaskownicy do wykorzystania Firefoksa 66,0 i otrzymał nagrodę w wysokości 40 000 USD.
Wszystkie te luki zostały zgłoszone do Microsoft i Mozilli, a firmy pracują nad poprawkami, które mają zostać opublikowane w kolejnych aktualizacjach.
POWIĄZANE ARTYKUŁY, KTÓRE MUSISZ SPRAWDZIĆ:
- Pobierz Ochronę aplikacji Windows Defender na Chrome i Firefox
- Jak przywrócić poprzednie sesje w Microsoft Edge
- Firefox i Chrome nie spełniają standardów bezpieczeństwa Microsoft Edge
