Дослідники безпеки зламали Microsoft Edge і Mozilla Firefox правильно і заробили грошовий приз у розмірі 270 тис. Доларів на Подія злому Pwn2Own.
Браузер Firefox 66 був оголошений 19 березня, тому компанія дозволила хакерам атакувати його, щоб виявити будь-які потенційні уразливості безпеки.
Дослідники виявили дві проблеми у веб-браузері. Вже наступного дня компанія вирішила випустити патч, щоб виправити їх обох в оновленні Firefox 66.0.1.
Ті, хто цього не знає Pwn2Own, це, в основному, щорічне змагання із злому. Це дає чудову можливість дослідникам безпеки, щоб вони могли продемонструвати нові помилки нульового дня.
В обмін на їх зусилля ініціатива Trend Micro Zero Day (ZDI) винагороджує їх гарною сумою.
@ фторацетат дует робить це знову. Вони використовували тип плутанини в #Edge, расовий стан у ядрі, а потім впишіть поза межами #VMware перейти від браузера у віртуальному клієнті до виконання коду на головній ОС. Вони заробляють $ 130 тис. Плюс 13 очок Master of Pwn. pic.twitter.com/mD13kozJLv
- Ініціатива Zero Day (@thezdi) 21 квітня 2019 р
Огляд Pwn2Own
Дослідники, які продемонстрували нове вразливості на робочій станції Oracle VirtualBox, Apple Safari та VMware було присуджено 240 000 доларів США в перший день Pwn2Own 2019.
На другому дні ZDI присудив 270 000 доларів США тим дослідникам, які виявили нові помилки у браузері Microsoft Edge та Mozilla Firefox.
Так вдалося дослідникам зламати Edge:
Це все, що потрібно для переходу від браузера в клієнті віртуальної машини до виконання коду на базовому гіпервізорі. Вони розпочали з помилки типу плутанини у браузері Microsoft Edge, а потім використали умову перегонів у ядрі Windows, а потім вийшли за межі запису на робочій станції VMware
Найголовніше, що недолік ескалації ядра у Firefox 66 продемонстрував Річард Чжу, а Амат Кама, офіційно відомий як Фтороацетат, отримав нагороду в розмірі 50 000 доларів. Ніклас Баумстарк використовувавтехніка втечі з пісочниці для використання Firefox 66.0 і отримала нагороду в 40 000 доларів.
Все це про вразливості повідомляли Microsoft і Mozilla, і компанії, які працюють над виправленнями, повинні випустити в наступних оновленнях.
СТАТТІ, ЩО ПОВ'ЯЗАНІ З ВАМИ ПОТРЕБИТИ:
- Завантажте Windows Defender Application Guard у Chrome та Firefox
- Як відновити попередні сеанси в Microsoft Edge
- Firefox та Chrome не можуть відповідати стандартам безпеки Microsoft Edge
