보안 연구원들은 Microsoft Edge와 Mozilla Firefox를 해킹했으며 Pwn2Own 해킹 이벤트에서 $ 270K의 상금을 받았습니다.

Firefox 66 브라우저는 3 월 19 일에 발표되었으므로이 회사는 친숙한 해커가 잠재적 인 보안 취약점을 탐지하기 위해 브라우저를 공격하도록 허용했습니다.

연구원들은 웹 브라우저에서 두 가지 문제를 확인했습니다. 바로 다음 날이 회사는 Firefox 66.0.1 업데이트에서이 두 가지를 수정하기위한 패치를 발표하기로 결정했습니다.

Pwn2Own을 모르는 사람들은 기본적으로 매년 해킹 경쟁입니다. 보안 연구원에게 새로운 제로 데이 버그를 보여줄 수있는 좋은 기회를 제공합니다.

그들의 노력에 대한 대가로, Trend Micro의 ZDI (Zero Day Initiative)는 많은 금액을 보상합니다.

@fluoroacetate duo가 다시 수행합니다. 그들은 #Edge의 유형 혼동, 커널의 경쟁 조건, #VMware의 범위 외 쓰기를 사용하여 가상 클라이언트의 브라우저에서 호스트 OS의 코드 실행으로 이동했습니다. 그들은 $ 130K + 13 Master of Pwn 포인트를 얻습니다. 트윗 담아 가기

- Zero Day Initiative (@thezdi) 2019 년 3 월 21 일

Pwn2Own 라운드 업

Oracle VirtualBox, Apple Safari 및 VMware 워크 스테이션에서 새로운 취약점을 보여준 연구원들은 2019 년 Pwn2Own 첫날 $ 240, 000를 받았습니다.

둘째 날을 향해 ZDI는 Microsoft Edge 및 Mozilla Firefox 브라우저에서 새로운 버그를 발견 한 연구원들에게 27 만 달러를 주었다.

이것이 연구원들이 Edge를 해킹하는 방법입니다.

가상 머신 클라이언트의 브라우저에서 기본 하이퍼 바이저에서 코드를 실행하는 데 필요한 전부입니다. 그들은 Microsoft Edge 브라우저에서 유형 혼란 버그로 시작한 다음 Windows 커널에서 경쟁 조건을 사용한 다음 VMware 워크 스테이션에서 범위를 벗어난 쓰기를 사용했습니다.

가장 중요한 것은 Firefox 66의 커널 에스컬레이션 결함이 Richard Zhu와 Fluoroacetate로 알려진 Amat Cama에 의해 5 만 달러의 상을 받았다는 점입니다. Niklas Baumstark는 샌드 박스 이스케이프 기술을 사용하여 Firefox 66.0을 이용하여 $ 40, 000의 상을 받았습니다.

이 모든 취약점은 Microsoft와 Mozilla에보고되었으며 패치를 연구중인 회사는 다음 업데이트에서 릴리스 될 예정입니다.