Cercetătorii de securitate au piratat Microsoft Edge și Mozilla Firefox corect și au câștigat un premiu în numerar de 270.000 USD la Eveniment de piratare Pwn2Own.
Browserul Firefox 66 a fost anunțat pe 19 martie, astfel încât compania a permis hackerilor prietenoși să-l atace pentru a detecta eventualele vulnerabilități de securitate.
Cercetătorii au identificat două probleme în browserul web. În ziua următoare, compania a decis să lanseze un patch pentru a le remedia pe amândouă în actualizarea Firefox 66.0.1.
Cei care nu sunt conștienți de Pwn2Own, este practic o competiție anuală de hacking. Oferă o mare oportunitate cercetătorilor în domeniul securității, astfel încât aceștia să poată demonstra noi erori de zi zero.
În schimbul eforturilor lor, Inițiativa Zero Day (ZDI) a Trend Micro îi recompensează cu o sumă frumoasă.
@fluoroacetat duo o face din nou. Au folosit o confuzie de tip în #Margine, o condiție de rasă în kernel, apoi o scriere în afara limitelor #VMware pentru a trece de la un browser într-un client virtual la executarea codului pe sistemul de operare gazdă. Câștigă 130.000 $ plus 13 puncte Master of Pwn.
pic.twitter.com/mD13kozJLv- Inițiativa Zero Day (@thezdi) 21 martie 2019
Pwn2Own Roundup
Cercetătorii care au demonstrat noi vulnerabilitățile din stația de lucru Oracle VirtualBox, Apple Safari și VMware au primit 240.000 de dolari în prima zi a Pwn2Own 2019.
Trecând spre a doua zi, ZDI a acordat o sumă de 270.000 USD acelor cercetători care au identificat noi erori în browserul Microsoft Edge și Mozilla Firefox.
Așa au reușit cercetătorii hack Edge:
Atât a fost nevoie pentru a trece de la un browser într-un client de mașină virtuală la executarea codului pe hipervizorul subiacent. Au început cu o eroare de confuzie de tip în browserul Microsoft Edge, apoi au folosit o condiție de cursă în nucleul Windows urmată de o scriere în afara limitelor în stația de lucru VMware
Cel mai important, defectul de escaladare a kernel-ului în Firefox 66 a fost demonstrat de Richard Zhu și Amat Cama, cunoscut oficial sub numele de Fluoroacetat, a primit un premiu pentru 50.000 de dolari. Niklas Baumstark folosito tehnică de evadare a sandbox-ului pentru a exploata Firefox 66.0 și a primit un premiu de 40.000 de dolari.
Toate acestea vulnerabilitățile au fost raportate către Microsoft și Mozilla, iar companiile care lucrează la patch-uri vor fi lansate în următoarele actualizări.
ARTICOLE LEGATE PE CARE TREBUIE SĂ LE VERIFICAȚI:
- Descărcați Windows Defender Application Guard pe Chrome și Firefox
- Cum se restabilește sesiunile anterioare în Microsoft Edge
- Firefox și Chrome nu pot corespunde standardelor de securitate Microsoft Edge
