Ang mga mananaliksik sa seguridad ay nag-hack ng Microsoft Edge at Mozilla Firefox ng tama at nakakuha ng isang gantimpalang cash na $ 270K sa Pwn2Own hacking event.

Ang browser ng Firefox 66 ay inihayag noong Marso 19, kaya hayaan ng kumpanya ang mga friendly hacker na atake ito upang makita ang anumang mga potensyal na kahinaan sa seguridad.

Kinilala ng mga mananaliksik ang dalawang isyu sa web browser. Sa susunod na araw, nagpasya ang kumpanya na palabasin ang isang patch upang ayusin ang dalawa sa pag-update ng Firefox 66.0.1.

Sa mga hindi nakakaalam ng Pwn2Own, ito ay karaniwang isang taunang kumpetisyon sa pag-hack. Nagbibigay ito ng isang mahusay na pagkakataon sa mga mananaliksik ng seguridad upang maipakita nila ang mga bagong zero-day bug.

Bilang kapalit ng kanilang mga pagsisikap, ang Trend Micro's Zero Day Initiative (ZDI) ay gantimpalaan sila ng isang gwapong halaga.

Ang @fluoroacetate duo ay ginagawa ito muli. Gumamit sila ng isang uri ng pagkalito sa #Edge, isang kondisyon ng lahi sa kernel, pagkatapos ay isang out-of-bounds na sumulat sa #VMware upang pumunta mula sa isang browser sa isang virtual na client upang magsagawa ng code sa host OS. Kumita sila ng $ 130K kasama ang 13 Master ng Pwn puntos. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) Marso 21, 2019

Pwn2Own Roundup

Ang mga mananaliksik na nagpakita ng mga bagong kahinaan sa Oracle VirtualBox, Apple Safari at VMware workstation ay iginawad ng $ 240, 000 sa unang araw ng Pwn2Own 2019.

Ang paglipat patungo sa ikalawang araw, iginawad ng ZDI ang halagang $ 270, 000 sa mga mananaliksik na nagpakilala ng mga bagong bug sa browser ng Microsoft na Edge at Mozilla Firefox.

Ito ay kung paano pinamamahalaang ng mga mananaliksik na mag-hack Edge:

Iyon lang ang kinakailangan upang pumunta mula sa isang browser sa isang client ng virtual machine upang magpatupad ng code sa pinagbabatayan na hypervisor. Nagsimula sila sa isang uri ng pagkalito ng bug sa browser ng Microsoft Edge, pagkatapos ay ginamit ang isang kondisyon ng lahi sa Windows kernel na sinundan ng isang out-of-hangganan na sumulat sa VMware workstation

Ang pinakamahalaga, ang pagkabulok ng kernel eskapo sa Firefox 66 ay ipinakita nina Richard Zhu at Amat Cama na opisyal na kilala bilang Fluoroacetate ay nakatanggap ng isang parangal para sa $ 50, 000. Gumamit si Niklas Baumstark ng diskarteng makatakas sa sandbox upang pagsamantalahan ang Firefox 66.0 at nakatanggap ng isang parangal na $ 40, 000.

Ang lahat ng mga kahinaan na ito ay naiulat sa Microsoft at Mozilla, at ang mga kumpanya ay nagtatrabaho sa mga patch ay inaasahan na ilalabas sa susunod na mga pag-update.