Turvallisuustutkijat hakkeroivat Microsoft Edgen ja Mozilla Firefoxin oikein ja ansaitsivat 270 000 dollarin rahapalkinnon Pwn2Own-hakkerointitapahtumassa.

Firefox 66 -selain julkistettiin 19. maaliskuuta, joten yritys antoi ystävällisten hakkereiden hyökätä siihen mahdollisten tietoturva-aukkojen havaitsemiseksi.

Tutkijat tunnistivat kaksi seikkaa selaimessa. Seuraavana päivänä yritys päätti julkaista korjaustiedoston, jolla molemmat korjataan Firefox 66.0.1 -päivitykseen.

Ne, jotka eivät ole tietoisia Pwn2Ownista, se on pohjimmiltaan vuotuinen hakkerointikilpailu. Se tarjoaa loistavan tilaisuuden turvallisuustutkijoille, jotta he voivat osoittaa uusia nollapäivän virheitä.

Vastineeksi ponnisteluistaan ​​Trend Micro: n Zero Day Initiative (ZDI) palkitsee heidät komealla summalla.

@Fluoriasetaattiduo tekee sen uudestaan. He käyttivät tyyppistä sekaannusta #Edgessä, kilpailuolosuhteita ytimessä, sitten ulkorajoja kirjoittaessaan #VMware siirtyäksesi virtuaalisen asiakkaan selaimelta koodin suorittamiseen isäntäjärjestelmässä. He ansaitsevat 130 000 dollaria plus 13 Master of Pwn -pistettä. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21. maaliskuuta 2019

Pwn2Own Roundup

Oracle VirtualBox-, Apple Safari- ja VMware-työasemien uusia haavoittuvuuksia osoittaneille tutkijoille myönnettiin 240 000 dollaria Pwn2Own 2019: n ensimmäisenä päivänä.

Toista päivää kohti siirtyessään ZDI myönsi 270 000 dollarin summan tutkijoille, jotka havaitsivat uusia virheitä Microsoftin Edge- ja Mozilla Firefox -selaimessa.

Näin tutkijat onnistuivat hakkeroimaan Edgen:

Siinä kaikki tarvitsi siirtyäksesi virtuaalikone-asiakasohjelman selaimesta koodin suorittamiseen alla olevaan hypervisoriin. He aloittivat tyyppihäiriövirheellä Microsoft Edge -selaimessa, sitten käyttivät kilpailuolosuhteita Windows-ytimessä, jota seurasi rajojen ulkopuolinen kirjoitus VMware-työasemassa

Tärkeintä on, että Firefox 66: n ytimen kärjistymisvirhe osoitti Richard Zhu ja Amat Cama, joka tunnetaan virallisesti nimellä fluoroasetaatti, sai palkinnon 50 000 dollaria. Niklas Baumstark käytti hiekkalaatikkopakotekniikkaa Firefox 66.0: n hyödyntämiseen ja sai 40 000 dollarin palkinnon.

Kaikista näistä haavoittuvuuksista on ilmoitettu Microsoftille ja Mozillalle, ja korjaustöitä tekevien yritysten odotetaan julkaisevan seuraavissa päivityksissä.