Microsoft Edge blev hackad på Pwn2Own 2019, patch inkommande

Pwn2Own 2019

Säkerhetsforskare hackade Microsoft Edge och Mozilla Firefox rätt och tjänade ett kontantpris på $ 270K på Pwn2Own-hackningshändelse.

De Firefox 66-webbläsaren tillkännagavs den 19 mars, så företaget lät vänliga hackare attackera den för att upptäcka eventuella säkerhetsproblem.

Forskarna identifierade två problem i webbläsaren. Redan nästa dag beslutade företaget att släppa en korrigeringsfil för att fixa dem båda i Firefox 66.0.1-uppdateringen.

De som inte är medvetna om Pwn2Own, det är i grunden en årlig hackingstävling. Det ger ett utmärkt tillfälle för säkerhetsforskare så att de kan demonstrera nya nolldagarsfel.

I utbyte mot sina ansträngningar belönar Trend Micros Zero Day Initiative (ZDI) dem med ett snyggt belopp.

De @fluoracetat duo gör det igen. De använde en typ förvirring i #Kant, ett rasvillkor i kärnan, sedan skriver en utanför gränserna in #VMware att gå från en webbläsare i en virtuell klient till att köra kod på värd-operativsystemet. De tjänar $ 130 000 plus 13 Master of Pwn-poäng. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21 mars 2019

Pwn2Own Roundup

Forskarna som visade nytt sårbarheter i Oracle VirtualBox, Apple Safari och VMware-arbetsstationen tilldelades 240 000 dollar den första dagen i Pwn2Own 2019.

På väg mot andra dagen tilldelade ZDI ett belopp på 270 000 dollar till de forskare som identifierade nya buggar i Microsofts webbläsare Edge och Mozilla Firefox.

Så här lyckades forskare hacka Edge:

Det är allt som krävs för att gå från en webbläsare i en virtuell maskinklient till att köra kod på den underliggande hypervisoren. De började med en typ förvirringsfel i Microsoft Edge-webbläsaren och använde sedan ett race-tillstånd i Windows-kärnan följt av en ut-av-gräns-skrivning i VMware-arbetsstationen

Viktigast är att kärnökningsfel i Firefox 66 demonstrerades av Richard Zhu och Amat Cama officiellt känd som Fluoroacetate fick ett pris för $ 50.000. Niklas Baumstark användsen sandlåda flyteknik för att utnyttja Firefox 66.0 och fick ett pris på $ 40.000.

Alla dessa sårbarheter har rapporterats till Microsoft och Mozilla, och företagen arbetar med korrigeringarna förväntas släppas i nästa uppdatering.

RELATERADE VAROR DU MÅSTE KONTROLLERA:

  • Ladda ner Windows Defender Application Guard på Chrome och Firefox
  • Så här återställer du tidigare sessioner i Microsoft Edge
  • Firefox och Chrome kan inte matcha säkerhetsstandarderna för Microsoft Edge
Windows Defender Advanced Threat Protection riktar sig mot Android, iOS, macOS och Linux

Windows Defender Advanced Threat Protection riktar sig mot Android, iOS, macOS och LinuxProblem Med Windows FörsvarareCybersäkerhet

Microsoft avslöjade just att de samarbetar med Bitdefender, Lookout och Ziften för att utöka räckvidden för Windows Defender Advanced Threat Protection (ATP) ännu mer.Genom att samarbeta med de vik...

Läs mer
Varning: Ny UAC-sårbarhet påverkar alla Windows-versioner

Varning: Ny UAC-sårbarhet påverkar alla Windows-versionerUacCybersäkerhet

Inget operativsystem är hotsäkert och alla användare vet detta. Där är en ständigt strid mellan programvaruföretag å ena sidan och hackare å andra sidan. Det verkar som om det finns många sårbarhet...

Läs mer
Windows Defender får nya funktioner för avancerat hotskydd

Windows Defender får nya funktioner för avancerat hotskyddMicrosoft Windows DefenderCybersäkerhet

Cyberattacker är en kontinuerlig källa till hot för alla konsumenter, men företag har lite mer att frukta på grund av känslig information de hamnar på digitala plattformar. Som svar på denna utmani...

Läs mer