„Microsoft“ kraštas buvo nulaužtas „pwn2own 2019“, pataisa gauta

Turinys:

Video: МНЕ УГРОЖАЕТ ХАКЕР ГОСТЬ 666 в роблокс | HailSatanaJoe roblox | Хакер который всех взломает 2024

Video: МНЕ УГРОЖАЕТ ХАКЕР ГОСТЬ 666 в роблокс | HailSatanaJoe roblox | Хакер который всех взломает 2024
Anonim

Saugumo tyrinėtojai nulaužė „Microsoft Edge“ ir „Mozilla Firefox“ teisingai ir uždirbo 270 000 USD piniginį prizą „Pwn2Own“ įsilaužimo renginyje.

„Firefox 66“ naršyklė buvo paskelbta kovo 19 d., Todėl bendrovė leido draugiškiems įsilaužėliams ją pulti, kad aptiktų galimas saugumo spragas.

Tyrėjai interneto naršyklėje nustatė dvi problemas. Jau kitą dieną kompanija nusprendė išleisti pataisą, kad abu būtų pataisyti „Firefox 66.0.1“ atnaujinime.

Tie, kurie nežino apie „Pwn2Own“, iš esmės tai yra kasmetinės įsilaužimo varžybos. Tai suteikia puikią galimybę saugumo tyrinėtojams, kad jie galėtų pademonstruoti naujas nulinės dienos klaidas.

Mainais už jų pastangas „Trend Micro“ „Zero Day Initiative“ (ZDI) apdovanoja juos gražia suma.

@Fluoracetato duetas tai daro dar kartą. Jie naudojo tipo painiavą #Edge, lenktynių sąlygą branduolyje, tada užribyje užrašė #VMware, kad pereitų iš virtualiojo kliento naršyklės į pagrindinio OS vykdymo kodą. Jie uždirba 130 000 USD ir 13 Master of Pwn taškų. pic.twitter.com/mD13kozJLv

- Nulinės dienos iniciatyva (@thezdi) 2019 m. Kovo 21 d

„Pwn2Own Roundup“

Pirmąjį „Pwn2Own 2019“ dieną tyrėjams, kurie pademonstravo naujas „Oracle VirtualBox“, „Apple Safari“ ir „VMware“ darbo vietų spragas, buvo skirta 240 000 USD.

Artėjant antrajai dienai, ZDI skyrė 270 000 USD sumą tiems tyrėjams, kurie nustatė naujas klaidas „Microsoft Edge“ ir „Mozilla Firefox“ naršyklėse.

Štai kodėl tyrėjams pavyko nulaužti „Edge“:

Viskas, ko prireikė pereinant nuo virtualios mašinos kliento naršyklės prie pagrindinio hipervizoriaus kodo vykdymo. Jie pradėjo nuo tipo painiavos klaidos „Microsoft Edge“ naršyklėje, tada naudojo lenktynių sąlygas „Windows“ branduolyje, po to rašė už ribų VMware darbo vietoje.

Svarbiausia, kad „Firefox 66“ branduolio eskalavimo trūkumus įrodė Richardas Zhu, o Amat Cama, oficialiai žinomas kaip fluoracetatas, gavo apdovanojimą už 50 000 USD. Niklas Baumstark panaudojo smėlio dėžės pabėgimo techniką, kad išnaudotų „Firefox 66.0“, ir gavo 40 000 USD apdovanojimą.

Apie visas šias spragas buvo pranešta „Microsoft“ ir „Mozilla“, ir tikimasi, kad bendrovės, kuriančios taisymus, bus pašalintos kituose atnaujinimuose.

„Microsoft“ kraštas buvo nulaužtas „pwn2own 2019“, pataisa gauta