Исследователи безопасности правильно взломали Microsoft Edge и Mozilla Firefox и заработали денежный приз в размере 270 тысяч долларов в Событие взлома Pwn2Own.
В Браузер Firefox 66 был анонсирован 19 марта, поэтому компания позволила дружественным хакерам атаковать его, чтобы обнаружить любые потенциальные уязвимости в системе безопасности.
Исследователи выявили две проблемы в веб-браузере. Уже на следующий день компания решила выпустить патч, чтобы исправить их оба в обновлении Firefox 66.0.1.
Те, кто не в курсе Pwn2Own, по сути, это ежегодное хакерское соревнование. Это дает отличную возможность исследователям безопасности, чтобы они могли продемонстрировать новые ошибки нулевого дня.
За их усилия компания Trend Micro Zero Day Initiative (ZDI) вознаграждает их щедрой суммой.
В @ фторацетат дуэт делает это снова. Они использовали путаницу в типах #Край, состояние гонки в ядре, затем запись за границу #VMware для перехода от браузера в виртуальном клиенте к выполнению кода в ОС хоста. Они зарабатывают 130 тысяч долларов плюс 13 очков Master of Pwn. pic.twitter.com/mD13kozJLv
- Инициатива нулевого дня (@thezdi) 21 марта 2019 г.,
Pwn2Own Roundup
Исследователи, продемонстрировавшие новые уязвимости в Oracle VirtualBox, Apple Safari и рабочей станции VMware были награждены 240 000 долларов в первый день Pwn2Own 2019.
Приближаясь ко второму дню, ZDI присудила 270 000 долларов тем исследователям, которые обнаружили новые ошибки в браузере Microsoft Edge и Mozilla Firefox.
Вот как исследователям удалось взломать Edge:
Это все, что требовалось для перехода от браузера в клиенте виртуальной машины к выполнению кода на нижележащем гипервизоре. Они начали с ошибки путаницы типов в браузере Microsoft Edge, затем использовали состояние гонки в ядре Windows, за которым следовала запись за пределами допустимого диапазона на рабочей станции VMware.
Самое главное, что Недостаток эскалации ядра в Firefox 66 был продемонстрирован Ричардом Чжу, и Амат Кама, официально известный как Fluoroacetate, получил награду в размере 50 000 долларов. Никлас Баумстарк подержанныйметод выхода из песочницы для использования Firefox 66.0, получивший награду в размере 40 000 долларов.
Все из этого Об уязвимостях сообщалось в Microsoft и Mozilla, и компании работают над исправлениями, которые, как ожидается, будут выпущены в следующих обновлениях.
СООТВЕТСТВУЮЩИЕ СТАТЬИ, КОТОРЫЕ НЕОБХОДИМО ВЫБРАТЬ:
- Загрузите Application Guard в Защитнике Windows в Chrome и Firefox
- Как восстановить предыдущие сеансы в Microsoft Edge
- Firefox и Chrome не соответствуют стандартам безопасности Microsoft Edge
