Οι ερευνητές ασφαλείας χάραξαν το Microsoft Edge και το Mozilla Firefox δεξιά και κέρδισαν χρηματικό έπαθλο $ 270K στο Pwn2Own hacking event.

Το πρόγραμμα περιήγησης Firefox 66 ανακοινώθηκε στις 19 Μαρτίου, οπότε η εταιρεία επέτρεψε στους φιλικούς hackers να επιτεθούν, προκειμένου να ανιχνεύσουν τυχόν πιθανές αδυναμίες ασφαλείας.

Οι ερευνητές εντόπισαν δύο θέματα στο πρόγραμμα περιήγησης ιστού. Την επόμενη μέρα, η εταιρεία αποφάσισε να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα για να επιδιορθώσει και τα δύο στην ενημερωμένη έκδοση του Firefox 66.0.1.

Όσοι δεν γνωρίζουν το Pwn2Own, είναι ουσιαστικά ένας ετήσιος διαγωνισμός hacking. Παρέχει μια μεγάλη ευκαιρία στους ερευνητές της ασφάλειας, ώστε να μπορούν να επιδείξουν νέα σφάλματα μηδενικής ημέρας.

Σε αντάλλαγμα για τις προσπάθειές τους, η Πρωτοβουλία Zero Day της Trend Micro (ZDI) τους ανταμείβει με ένα όμορφο ποσό.

Το duo @fluoroacetate το κάνει και πάλι. Χρησιμοποίησαν μια σύγχυση τύπου στο #Edge, μία κατάσταση του αγώνα στον πυρήνα, και στη συνέχεια ένα γράφημα έξω από τα όρια στο #VMware για να μεταβεί από ένα πρόγραμμα περιήγησης σε ένα εικονικό πρόγραμμα-πελάτη στον κώδικα εκτέλεσης στο λειτουργικό σύστημα του κεντρικού υπολογιστή. Θα κερδίσουν $ 130K συν 13 Master των πόντων Pwn. pic.twitter.com/mD13kozJLv

- Πρωτοβουλία μηδενικής ημέρας (@thezdi) 21 Μαρτίου 2019

Pwn2Own Roundup

Οι ερευνητές που επέδειξαν νέα ευπάθεια στους σταθμούς εργασίας Oracle VirtualBox, Apple Safari και VMware απονεμήθηκαν $ 240.000 την πρώτη ημέρα του Pwn2Own 2019.

Προχωρώντας προς τη δεύτερη μέρα, η ZDI απονεμήθηκε ποσό 270.000 δολαρίων σε εκείνους τους ερευνητές που προσδιόρισαν νέα σφάλματα στο πρόγραμμα περιήγησης της Microsoft Edge και Mozilla Firefox.

Αυτός είναι ο τρόπος με τον οποίο οι ερευνητές κατάφεραν να χτυπήσουν το Edge:

Αυτό είναι το μόνο που χρειάστηκε για να μεταβείτε από ένα πρόγραμμα περιήγησης σε έναν πελάτη εικονικής μηχανής στην εκτέλεση κώδικα στον υποκείμενο υποκείμενο. Ξεκίνησαν με ένα σφάλμα σύγχυσης τύπου στο πρόγραμμα περιήγησης Microsoft Edge και στη συνέχεια χρησιμοποίησαν μια προϋπόθεση για τον αγώνα στον πυρήνα των Windows ακολουθούμενη από μια γραφή εκτός λειτουργίας σε σταθμό εργασίας VMware

Το πιο σημαντικό, το ελάττωμα κλιμάκωσης του πυρήνα στο Firefox 66 επιδείχθηκε από τον Richard Zhu και ο Amat Cama, επίσημα γνωστός ως Fluoroacetate, έλαβε βραβείο για $ 50.000. Ο Niklas Baumstark χρησιμοποίησε μια τεχνική διαφυγής από sandbox για να εκμεταλλευτεί τον Firefox 66.0 και έλαβε ένα βραβείο $ 40, 000.

Όλα αυτά τα τρωτά σημεία έχουν αναφερθεί στη Microsoft και στο Mozilla και οι εταιρείες εργάζονται για τα ενημερωτικά δελτία που αναμένεται να κυκλοφορήσουν στις επόμενες ενημερώσεις.