Дослідники з безпеки зламали право Microsoft Edge та Mozilla Firefox та отримали грошовий приз у розмірі 270 000 доларів на хакерській події Pwn2Own.

Веб-переглядач Firefox 66 був оголошений 19 березня, тому компанія дозволила дружнім хакерам атакувати його, щоб виявити будь-які потенційні вразливості безпеки.

Дослідники визначили дві проблеми у веб-браузері. На наступний день компанія вирішила випустити патч, щоб виправити їх обох у оновленнях Firefox 66.0.1.

Для тих, хто не знає Pwn2Own, це в основному щорічна конкуренція злому. Це дає чудову можливість дослідникам з питань безпеки, щоб вони могли демонструвати нові помилки з нульовим днем.

Натомість за їх зусилля, Trend Micro's Zero Day Initiative (ZDI) нагороджує їх гарною сумою.

Дует @fluoroacetate робить це знову. Вони використовували плутанину типу в #Edge, стан перегонів у ядрі, а потім поза межами запису в #VMware переходять із браузера у віртуальний клієнт для виконання коду в хост-ОС. Вони заробляють 130 000 доларів плюс 13 очок Master Pwn. pic.twitter.com/mD13kozJLv

- Ініціатива нульового дня (@thezdi) 21 березня 2019 року

Pwn2Own Roundup

Дослідники, які продемонстрували нові вразливості на робочих станціях Oracle VirtualBox, Apple Safari та VMware, отримали 240 000 доларів у перший день Pwn2Own 2019.

Просуваючись до другого дня, ZDI нагородив суму в 270 000 доларів тим дослідникам, які виявили нові помилки в браузері Microsoft Edge та Mozilla Firefox.

Ось як дослідникам вдалося зламати Edge:

Це все, що потрібно пройти від браузера у клієнта віртуальної машини до виконання коду на нижньому гіпервізорі. Вони розпочали помилку з плутаниною типу в браузері Microsoft Edge, потім застосували перегонний стан у ядрі Windows з подальшим записом поза межами роботи на робочій станції VMware

Найголовніше, що ваду ескалації ядра у Firefox 66 продемонстрував Річард Чжу, а Амат Кама, офіційно відомий як Fluoroacetate, отримав нагороду в розмірі 50 000 доларів. Ніклас Баумстарк використав техніку втечі з пісочниці для використання Firefox 66.0 і отримав нагороду в розмірі 40 000 доларів.

Про всі ці вразливості повідомлялося Microsoft та Mozilla, і компанії, які працюють над виправленнями, очікуються, що будуть випущені в наступних оновленнях.