I ricercatori della sicurezza hanno violato Microsoft Edge e Mozilla Firefox e hanno vinto un premio in denaro di $ 270.000 all'evento di hacking di Pwn2Own.

Il browser Firefox 66 è stato annunciato il 19 marzo, quindi la società ha permesso agli hacker amichevoli di attaccarlo per rilevare eventuali vulnerabilità della sicurezza.

I ricercatori hanno identificato due problemi nel browser web. Il giorno successivo, la società ha deciso di rilasciare una patch per risolverli entrambi nell'aggiornamento di Firefox 66.0.1.

Coloro che non sono a conoscenza di Pwn2Own, è fondamentalmente una competizione annuale di hacking. Offre una grande opportunità ai ricercatori di sicurezza in modo che possano dimostrare nuovi bug zero-day.

In cambio dei loro sforzi, Zero Day Initiative (ZDI) di Trend Micro li premia con una bella somma.

Il duo @fluoroacetato lo fa di nuovo. Hanno usato una confusione di tipo in #Edge, una condizione di competizione nel kernel, quindi una scrittura fuori campo in #VMware per passare da un browser in un client virtuale all'esecuzione di codice sul sistema operativo host. Guadagnano $ 130K più 13 punti Master of Pwn. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21 marzo 2019

Pwn2Own Roundup

I ricercatori che hanno dimostrato nuove vulnerabilità in Oracle VirtualBox, Apple Safari e workstation VMware hanno ricevuto 240.000 $ il primo giorno di Pwn2Own 2019.

Verso il secondo giorno, ZDI ha assegnato $ 270.000 a quei ricercatori che hanno identificato nuovi bug nel browser Microsoft Edge e Mozilla Firefox.

Ecco come i ricercatori sono riusciti a hackerare Edge:

Questo è tutto ciò che serve per passare da un browser in un client di macchina virtuale all'esecuzione di codice sull'hypervisor sottostante. Hanno iniziato con un bug di confusione di tipo nel browser Microsoft Edge, quindi hanno usato una race condition nel kernel di Windows seguita da una scrittura fuori limite nella workstation VMware

Ancora più importante, il difetto di escalation del kernel in Firefox 66 è stato dimostrato da Richard Zhu e Amat Cama ufficialmente noto come Fluoroacetate ha ricevuto un premio per $ 50.000. Niklas Baumstark ha utilizzato una tecnica di escape sandbox per sfruttare Firefox 66.0 e ha ricevuto un premio di $ 40.000.

Tutte queste vulnerabilità sono state segnalate a Microsoft e Mozilla e le società che stanno lavorando alle patch dovrebbero essere rilasciate nei prossimi aggiornamenti.