חוקרי אבטחה פרצו נכון את Microsoft Edge ו- Mozilla Firefox וזכו בפרס מזומן של 270K $ באירוע ההאקינג Pwn2Own.

דפדפן Firefox 66 הוכרז ב -19 במרץ, כך שהחברה נתנה להאקרים ידידותיים לתקוף אותו על מנת לאתר פגיעויות אבטחה אפשריות.

החוקרים זיהו שני בעיות בדפדפן האינטרנט. כבר למחרת החליטה החברה לשחרר טלאי לתיקון שניהם בעדכון Firefox 66.0.1.

מי שלא מודע ל- Pwn2Own, זו בעצם תחרות פריצה שנתית. זה נותן הזדמנות נהדרת לחוקרי אבטחה כדי שיוכלו להפגין באגים חדשים חדשים באפס.

בתמורה למאמציהם, יוזמת Zero Day של Trend Micro (ZDI) מתגמלת אותם בסכום נאה.

הצמד @fluoroacetate עושה זאת שוב. הם השתמשו בבלבול מסוג ב- #Edge, מצב מירוץ בגרעין, ואז כתיבה מחוץ לתחום ב- #VMware כדי לעבור מדפדפן בלקוח וירטואלי להפעלת קוד במערכת ההפעלה המארחת. הם מרוויחים $ 130K בתוספת 13 נקודות Master of Pwn. pic.twitter.com/mD13kozJLv

- יוזמת יום אפס (@thezdi) 21 במרץ, 2019

Pwn2Own Roundup

החוקרים שהפגינו פגיעויות חדשות בתחנת העבודה Oracle VirtualBox, Apple Safari ו- VMware קיבלו 240, 000 דולר ביום הראשון של Pwn2Own 2019.

לקראת היום השני העניק ZDI סכום של 270, 000 דולר לחוקרים שזיהו באגים חדשים בדפדפן Microsoft ו- Firefox של Mozilla Firefox.

כך הצליחו החוקרים לפרוץ את Edge:

זה כל מה שנדרש כדי לעבור מדפדפן בלקוח של מכונה וירטואלית לביצוע קוד ב- hypervisor הבסיסי. הם התחילו עם באג בלבול מסוג בדפדפן Microsoft Edge, ואז השתמשו בתנאי מירוץ בגרעין Windows ואחריו כתיבה מחוץ לתחום בתחנת העבודה של VMware.

והכי חשוב, הפגם בהסלמת הגרעין בפיירפוקס 66 הוכח על ידי ריצ'רד ג'ו ואמת קמה הידועה רשמית בשם Fluoroacetate קיבלה פרס בסכום של 50, 000 $. Niklas Baumstark השתמש בטכניקת בריחה של ארגז חול כדי לנצל את Firefox 66.0 וקיבל פרס של 40, 000 דולר.

כל הפגיעויות הללו דווחו למיקרוסופט ולמוזילה והחברות עובדות על התיקונים צפויים לשחרר בעדכונים הבאים.