Microsoft Edge blev hackad på Pwn2Own 2019, patch inkommande

Pwn2Own 2019

Säkerhetsforskare hackade Microsoft Edge och Mozilla Firefox rätt och tjänade ett kontantpris på $ 270K på Pwn2Own-hackningshändelse.

De Firefox 66-webbläsaren tillkännagavs den 19 mars, så företaget lät vänliga hackare attackera den för att upptäcka eventuella säkerhetsproblem.

Forskarna identifierade två problem i webbläsaren. Redan nästa dag beslutade företaget att släppa en korrigeringsfil för att fixa dem båda i Firefox 66.0.1-uppdateringen.

De som inte är medvetna om Pwn2Own, det är i grunden en årlig hackingstävling. Det ger ett utmärkt tillfälle för säkerhetsforskare så att de kan demonstrera nya nolldagarsfel.

I utbyte mot sina ansträngningar belönar Trend Micros Zero Day Initiative (ZDI) dem med ett snyggt belopp.

De @fluoracetat duo gör det igen. De använde en typ förvirring i #Kant, ett rasvillkor i kärnan, sedan skriver en utanför gränserna in #VMware att gå från en webbläsare i en virtuell klient till att köra kod på värd-operativsystemet. De tjänar $ 130 000 plus 13 Master of Pwn-poäng. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21 mars 2019

Pwn2Own Roundup

Forskarna som visade nytt sårbarheter i Oracle VirtualBox, Apple Safari och VMware-arbetsstationen tilldelades 240 000 dollar den första dagen i Pwn2Own 2019.

På väg mot andra dagen tilldelade ZDI ett belopp på 270 000 dollar till de forskare som identifierade nya buggar i Microsofts webbläsare Edge och Mozilla Firefox.

Så här lyckades forskare hacka Edge:

Det är allt som krävs för att gå från en webbläsare i en virtuell maskinklient till att köra kod på den underliggande hypervisoren. De började med en typ förvirringsfel i Microsoft Edge-webbläsaren och använde sedan ett race-tillstånd i Windows-kärnan följt av en ut-av-gräns-skrivning i VMware-arbetsstationen

Viktigast är att kärnökningsfel i Firefox 66 demonstrerades av Richard Zhu och Amat Cama officiellt känd som Fluoroacetate fick ett pris för $ 50.000. Niklas Baumstark användsen sandlåda flyteknik för att utnyttja Firefox 66.0 och fick ett pris på $ 40.000.

Alla dessa sårbarheter har rapporterats till Microsoft och Mozilla, och företagen arbetar med korrigeringarna förväntas släppas i nästa uppdatering.

RELATERADE VAROR DU MÅSTE KONTROLLERA:

  • Ladda ner Windows Defender Application Guard på Chrome och Firefox
  • Så här återställer du tidigare sessioner i Microsoft Edge
  • Firefox och Chrome kan inte matcha säkerhetsstandarderna för Microsoft Edge
Hur man tar bort Locky ransomware för gott

Hur man tar bort Locky ransomware för gottLockyRansomwareCybersäkerhet

Många Windows-användare rapporterade att Locky ransomware har påverkat sina datorer efter att ha använt Facebook.För att ta bort denna typ av virus bör du köra ett pålitligt verktyg för borttagning...

Läs mer
Office 365 ATP för att få nya förstärkningar mot phishing

Office 365 ATP för att få nya förstärkningar mot phishingKontor 365Cybersäkerhet

Office 365 ATP får nya funktioner mot phishing, anti-spam och anti-malware.Hothotstypfilter för alla e-postvyer, spambedömning i Threat Explorer och mer kommer att lanseras under Q3 2020. För mer O...

Läs mer
Alteryx personuppgiftsläckage påverkar miljoner: Är du påverkad?

Alteryx personuppgiftsläckage påverkar miljoner: Är du påverkad?IntegritetCybersäkerhet

Att skydda din personliga information blir allt svårare. Hackare arbetar dag och natt för att få tag på dina personuppgifteranvänder webbplatser cookies och annat spårningsverktyg för att påverka d...

Läs mer