Microsoft Edge blev hackad på Pwn2Own 2019, patch inkommande

Pwn2Own 2019

Säkerhetsforskare hackade Microsoft Edge och Mozilla Firefox rätt och tjänade ett kontantpris på $ 270K på Pwn2Own-hackningshändelse.

De Firefox 66-webbläsaren tillkännagavs den 19 mars, så företaget lät vänliga hackare attackera den för att upptäcka eventuella säkerhetsproblem.

Forskarna identifierade två problem i webbläsaren. Redan nästa dag beslutade företaget att släppa en korrigeringsfil för att fixa dem båda i Firefox 66.0.1-uppdateringen.

De som inte är medvetna om Pwn2Own, det är i grunden en årlig hackingstävling. Det ger ett utmärkt tillfälle för säkerhetsforskare så att de kan demonstrera nya nolldagarsfel.

I utbyte mot sina ansträngningar belönar Trend Micros Zero Day Initiative (ZDI) dem med ett snyggt belopp.

De @fluoracetat duo gör det igen. De använde en typ förvirring i #Kant, ett rasvillkor i kärnan, sedan skriver en utanför gränserna in #VMware att gå från en webbläsare i en virtuell klient till att köra kod på värd-operativsystemet. De tjänar $ 130 000 plus 13 Master of Pwn-poäng. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21 mars 2019

Pwn2Own Roundup

Forskarna som visade nytt sårbarheter i Oracle VirtualBox, Apple Safari och VMware-arbetsstationen tilldelades 240 000 dollar den första dagen i Pwn2Own 2019.

På väg mot andra dagen tilldelade ZDI ett belopp på 270 000 dollar till de forskare som identifierade nya buggar i Microsofts webbläsare Edge och Mozilla Firefox.

Så här lyckades forskare hacka Edge:

Det är allt som krävs för att gå från en webbläsare i en virtuell maskinklient till att köra kod på den underliggande hypervisoren. De började med en typ förvirringsfel i Microsoft Edge-webbläsaren och använde sedan ett race-tillstånd i Windows-kärnan följt av en ut-av-gräns-skrivning i VMware-arbetsstationen

Viktigast är att kärnökningsfel i Firefox 66 demonstrerades av Richard Zhu och Amat Cama officiellt känd som Fluoroacetate fick ett pris för $ 50.000. Niklas Baumstark användsen sandlåda flyteknik för att utnyttja Firefox 66.0 och fick ett pris på $ 40.000.

Alla dessa sårbarheter har rapporterats till Microsoft och Mozilla, och företagen arbetar med korrigeringarna förväntas släppas i nästa uppdatering.

RELATERADE VAROR DU MÅSTE KONTROLLERA:

  • Ladda ner Windows Defender Application Guard på Chrome och Firefox
  • Så här återställer du tidigare sessioner i Microsoft Edge
  • Firefox och Chrome kan inte matcha säkerhetsstandarderna för Microsoft Edge
Windows XP KB982316 förhindrar hackare från att få kontroll över din dator

Windows XP KB982316 förhindrar hackare från att få kontroll över din datorWindows XpCybersäkerhet

Enligt Microsoft har ett nytt säkerhetsproblem identifierats i Windows som kan tillåta en autentiserad lokal angripare att äventyra system för att få kontroll. En nyligen utrullad uppdatering tar h...

Läs mer
Massivt juli Twitter-hack med hjälp av stulna VPN-referenser

Massivt juli Twitter-hack med hjälp av stulna VPN-referenserNätfiskeattackTwitterVpnCybersäkerhet

Det ökända Twitter-hacket i juli möjliggjordes enligt uppgift med hjälp av stulna VPN-referenser från Twitter-anställda.Twitters hemarbetande anställda målsattes av en nätfiskeattack, smart förkläd...

Läs mer
Microsofts juni-korrigeringsfunktion fixar större nolldagars sårbarhet, förhindrar nätverkstrafikattacker

Microsofts juni-korrigeringsfunktion fixar större nolldagars sårbarhet, förhindrar nätverkstrafikattackerWindows 10Cybersäkerhet

Nyligen avslöjade antyder att Windows gömmer en hel del sårbarheter som hackare kan utnyttja när som helst. Microsoft skryter av sin Edge-webbläsare och hävdar inga nolldagars exploateringar hittil...

Läs mer