Изследователите по сигурността хакнаха правилно Microsoft Edge и Mozilla Firefox и спечелиха парична награда в размер на 270 000 долара на хакерско събитие Pwn2Own.

Браузърът Firefox 66 бе обявен на 19 март, така че компанията пусна приятелски хакери да го атакуват, за да открият всякакви потенциални уязвимости в сигурността.

Изследователите идентифицираха два проблема в уеб браузъра. На следващия ден компанията реши да пусне патч, за да поправи и двете в актуализацията на Firefox 66.0.1.

Тези, които не са запознати с Pwn2Own, това е основно ежегодно хакерско състезание. Предоставя чудесна възможност на изследователите по сигурността, така че да могат да демонстрират нови бъгове с нулев ден.

В замяна на техните усилия, Trend Micro's Zero Day Initiative (ZDI) ги награждава с красива сума.

@Fluoroacetate duo го прави отново. Те използваха объркване на типа в #Edge, състояние на състезанието в ядрото, а след това изписано извън граница в #VMware, за да отидат от браузър във виртуален клиент, за да изпълнят код на хост операционната система. Те печелят $ 130 000 плюс 13 точки на Pwn Pwn. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21 март 2019 г.

Pwn2Own Roundup

Изследователите, които демонстрираха нови уязвимости в Oracle VirtualBox, Apple Safari и VMware работна станция, бяха наградени 240 000 долара в първия ден на Pwn2Own 2019.

Придвижвайки се към втория ден, ZDI присъди сума от 270 000 долара на онези изследователи, които идентифицираха нови бъгове в браузъра Edge и Mozilla Firefox на Microsoft.

Ето как изследователите успяха да хакнат Edge:

Това е всичко, необходимо за преминаване от браузър във клиент на виртуална машина до изпълнение на код на основния хипервизор. Те започнаха с грешка от тип объркване в браузъра Microsoft Edge, след което използваха състезателно условие в ядрото на Windows, последвано от запис извън границите в работната станция на VMware

Най-важното е, че недостатъкът на ескалация на ядрото в Firefox 66 бе демонстриран от Ричард Жу и Амат Кама, официално известен като Fluoroacetate получи награда за 50 000 долара. Niklas Baumstark използва техниката за бягство в пясъчник, за да използва Firefox 66.0 и получи награда от $ 40 000.

Всички тези уязвимости са докладвани на Microsoft и Mozilla, а компаниите, които работят върху пластирите, се очаква да бъдат пуснати в следващите актуализации.