微软Edge在Pwn2own 2019遭到黑客入侵,补丁发布

目录:

视频: Кто взлoмaл Юру Дудя? Деанон хaкерoв, взлaмывaющих блогеров 2024

视频: Кто взлoмaл Юру Дудя? Деанон хaкерoв, взлaмывaющих блогеров 2024
Anonim

安全研究人员对Microsoft Edge和Mozilla Firefox进行了黑客攻击,并在Pwn2Own黑客活动中获得了27万美元的现金奖励。

Firefox 66浏览器于3月19日发布,因此该公司允许友好的黑客对其进行攻击,以检测任何潜在的安全漏洞。

研究人员在网络浏览器中发现了两个问题。 第二天,该公司决定发布修补程序以修复Firefox 66.0.1更新中的这两个问题。

那些不了解Pwn2Own的人,基本上是一年一度的黑客大赛。 它为安全研究人员提供了绝佳的机会,使他们可以演示新的零日漏洞。

作为他们的努力的回报,趋势科技的零日活动(ZDI)给予了可观的回报。

@fluoroacetate二重奏再次执行此操作。 他们在#Edge中使用类型混淆,在内核中使用竞争条件,然后在#VMware中进行越界写入,以从虚拟客户端中的浏览器转到在主机OS上执行代码。 他们赚了13万美元,外加13个Pwn积分。 pic.twitter.com/mD13kozJLv

-零日倡议(@thezdi),2019年3月21日

Pwn2Own综述

在Pwn2Own 2019的第一天,展示了Oracle VirtualBox,Apple Safari和VMware工作站中新漏洞的研究人员获得了24万美元的奖金。

进入第二天,ZDI向那些发现了Microsoft Edge和Mozilla Firefox浏览器新错误的研究人员奖励了270, 000美元。

这是研究人员设法破解Edge的方式:

从虚拟机客户端中的浏览器到在底层虚拟机管理程序上执行代码,仅此而已。 他们首先从Microsoft Edge浏览器中的类型混淆错误开始,然后在Windows内核中使用竞争条件,然后在VMware工作站中进行越界写入

最重要的是,Richard Zhu和正式被称为Fluoroacetate的Amat Cama证明了Firefox 66中的内核升级漏洞获得了50, 000美元的奖励。 Niklas Baumstark使用沙盒逃脱技术来利用Firefox 66.0,并获得了40, 000美元的奖励。

所有这些漏洞都已报告给Microsoft和Mozilla,两家公司正在开发补丁程序,预计将在下次更新中发布。

微软Edge在Pwn2own 2019遭到黑客入侵,补丁发布