Güvenlik araştırmacıları Microsoft Edge ve Mozilla Firefox'u hacklediler ve 270 bin dolarlık nakit ödül kazandılar. Pwn2Own hack olayı.
Firefox 66 tarayıcısı 19 Mart'ta duyuruldu, bu nedenle şirket, olası güvenlik açıklarını tespit etmek için dost bilgisayar korsanlarının ona saldırmasına izin verdi.
Araştırmacılar web tarayıcısında iki sorun belirlediler. Ertesi gün şirket, her ikisini de Firefox 66.0.1 güncellemesinde düzeltmek için bir yama yayınlamaya karar verdi.
Farkında olmayanlar Pwn2Own, temelde yıllık bir bilgisayar korsanlığı yarışmasıdır. Güvenlik araştırmacılarına yeni sıfır gün hatalarını gösterebilmeleri için harika bir fırsat sunuyor.
Trend Micro'nun Zero Day Initiative (ZDI) programı, çabalarının karşılığında onları büyük bir miktarla ödüllendiriyor.
@floroasetat ikili yine yapıyor. Bir tür karışıklığı kullandılar #Kenar, çekirdekte bir yarış koşulu, ardından bir sınır dışı yazma #VMware sanal bir istemcideki bir tarayıcıdan ana bilgisayar işletim sisteminde kod yürütmeye gitmek için. 130 bin dolar artı 13 Master of Pwn puanı kazanıyorlar.
pic.twitter.com/mD13kozJLv— Sıfır Gün Girişimi (@thezdi) 21 Mart 2019
Pwn2Own Özeti
Yeni ortaya koyan araştırmacılar Oracle VirtualBox, Apple Safari ve VMware iş istasyonundaki güvenlik açıkları, Pwn2Own 2019'un ilk gününde 240.000 ABD Doları ile ödüllendirildi.
İkinci güne doğru ilerleyen ZDI, Microsoft'un Edge ve Mozilla Firefox tarayıcısında yeni hatalar tespit eden araştırmacılara 270.000 $ ödül verdi.
Araştırmacılar bu şekilde başardı Kenar kesmek:
Sanal makine istemcisindeki bir tarayıcıdan temeldeki hiper yöneticide kod yürütmeye geçmek için gereken tek şey bu. Microsoft Edge tarayıcısında bir tür karışıklığı hatasıyla başladılar, ardından Windows çekirdeğinde bir yarış koşulu kullandılar ve ardından VMware iş istasyonunda bir sınır dışı yazma işlemi yaptılar.
En önemlisi, Firefox 66'daki çekirdek yükseltme kusuru Richard Zhu tarafından gösterildi ve resmi olarak Fluoroasetat olarak bilinen Amat Cama 50.000 dolarlık bir ödül aldı. Niklas Baumstark'ın kullandığıFirefox 66.0'dan yararlanmak için bir sanal alan kaçış tekniği ve 40.000 $ ödül aldı.
Bütün bunlar Güvenlik açıkları Microsoft ve Mozilla'ya bildirildi ve yamalar üzerinde çalışan şirketlerin bir sonraki güncellemelerde yayınlamaları bekleniyor.
KONTROL ETMENİZ GEREKEN İLGİLİ MAKALELER:
- Windows Defender Uygulama Korumasını Chrome ve Firefox'ta İndirin
- Microsoft Edge'de önceki oturumlar nasıl geri yüklenir
- Firefox ve Chrome, Microsoft Edge güvenlik standartlarıyla eşleşemez
