安全研究人员对Microsoft Edge和Mozilla Firefox进行了黑客攻击，并在Pwn2Own黑客活动中获得了27万美元的现金奖励。

Firefox 66浏览器于3月19日发布，因此该公司允许友好的黑客对其进行攻击，以检测任何潜在的安全漏洞。

研究人员在网络浏览器中发现了两个问题。 第二天，该公司决定发布修补程序以修复Firefox 66.0.1更新中的这两个问题。

那些不了解Pwn2Own的人，基本上是一年一度的黑客大赛。 它为安全研究人员提供了绝佳的机会，使他们可以演示新的零日漏洞。

作为他们的努力的回报，趋势科技的零日活动（ZDI）给予了可观的回报。

@fluoroacetate二重奏再次执行此操作。 他们在#Edge中使用类型混淆，在内核中使用竞争条件，然后在#VMware中进行越界写入，以从虚拟客户端中的浏览器转到在主机OS上执行代码。 他们赚了13万美元，外加13个Pwn积分。 pic.twitter.com/mD13kozJLv

-零日倡议（@thezdi），2019年3月21日

Pwn2Own综述

在Pwn2Own 2019的第一天，展示了Oracle VirtualBox，Apple Safari和VMware工作站中新漏洞的研究人员获得了24万美元的奖金。

进入第二天，ZDI向那些发现了Microsoft Edge和Mozilla Firefox浏览器新错误的研究人员奖励了270, 000美元。

这是研究人员设法破解Edge的方式：

从虚拟机客户端中的浏览器到在底层虚拟机管理程序上执行代码，仅此而已。 他们首先从Microsoft Edge浏览器中的类型混淆错误开始，然后在Windows内核中使用竞争条件，然后在VMware工作站中进行越界写入

最重要的是，Richard Zhu和正式被称为Fluoroacetate的Amat Cama证明了Firefox 66中的内核升级漏洞获得了50, 000美元的奖励。 Niklas Baumstark使用沙盒逃脱技术来利用Firefox 66.0，并获得了40, 000美元的奖励。

所有这些漏洞都已报告给Microsoft和Mozilla，两家公司正在开发补丁程序，预计将在下次更新中发布。