Bezpečnostní výskumníci hackli Microsoft Edge a Mozilla Firefox správne a zarobili si finančnú výhru vo výške 270 000 USD Hackovacia udalosť Pwn2Own.
The Prehliadač Firefox 66 bol ohlásený 19. marca, takže spoločnosť nechala napadnúť priateľských hackerov s cieľom odhaliť potenciálne bezpečnostné chyby.
Vedci identifikovali dva problémy vo webovom prehliadači. Hneď na druhý deň sa spoločnosť rozhodla vydať opravnú aktualizáciu oboch v aktualizácii Firefox 66.0.1.
Tí, ktorí si toho nie sú vedomí Pwn2Own, je to v podstate každoročná hackerská súťaž. Poskytuje výskumným pracovníkom v oblasti bezpečnosti veľkú príležitosť, aby mohli predvádzať nové chyby nulového dňa.
Na oplátku za ich úsilie ich spoločnosť Trend Micro’s Zero Day Initiative (ZDI) odmeňuje peknou sumou.
The @ fluóracetát duo to robí znova. Použili zmätok typu v #Hrana, závodná podmienka v jadre, potom sa zapíše out-of-bounds #VMware prejsť z prehliadača vo virtuálnom klientovi na spustenie kódu v hostiteľskom operačnom systéme. Zarábajú 130 000 dolárov plus 13 bodov Master of Pwn. pic.twitter.com/mD13kozJLv
- Zero Day Initiative (@thezdi) 21.03.2019
Pwn2Own Roundup
Vedci, ktorí predviedli nové chyby v pracovných staniciach Oracle VirtualBox, Apple Safari a VMware boli v prvý deň programu Pwn2Own 2019 ocenené sumou 240 000 dolárov.
Na druhý deň ZDI pridelil sumu 270 000 dolárov tým výskumníkom, ktorí identifikovali nové chyby v prehliadačoch Microsoft Edge a Mozilla Firefox.
Takto sa to vedcom podarilo hacknúť Edge:
To je všetko, čo bolo potrebné prejsť od prehliadača v klientovi virtuálneho stroja k spusteniu kódu na základnom hypervisore. Začali chybou zmätku typu v prehliadači Microsoft Edge, potom použili podmienku rasy v jadre systému Windows, po ktorej nasledoval zápis mimo pracovnú hranicu na pracovnej stanici VMware
Najdôležitejšie je, že Chyba eskalácie jadra vo Firefoxe 66 bola demonštrovaná Richardom Zhu a Amat Cama oficiálne známa ako Fluoroacetate získala cenu za 50 000 dolárov. Použil Niklas Baumstarksandbox escape technik to exploit Firefox 66.0 a dostal ocenenie 40 000 dolárov.
Všetky tieto spoločnosti Microsoft a Mozilla boli hlásené chyby zabezpečenia a spoločnosti, ktoré pracujú na opravách, ktoré sa majú vydať v najbližších aktualizáciách.
SÚVISIACE ČLÁNKY, KTORÉ TREBA POZERAŤ:
- Stiahnite si program Windows Defender Application Guard pre Chrome a Firefox
- Ako obnoviť predchádzajúce relácie v aplikácii Microsoft Edge
- Firefox a Chrome nemôžu zodpovedať bezpečnostným štandardom Microsoft Edge
