Microsoft edge s'est fait pirater à pwn2own 2019, correctif entrant
Table des matières:
Vidéo: The New Microsoft Edge Browser - Is It Any Good? 2024
Des chercheurs en sécurité ont piraté Microsoft Edge et Mozilla Firefox et ont remporté un prix de 270 000 dollars lors d'un événement de piratage informatique Pwn2Own.
Le navigateur Firefox 66 a été annoncé le 19 mars. La société a donc laissé des pirates informatiques l’attaquer afin de détecter les failles de sécurité potentielles.
Les chercheurs ont identifié deux problèmes dans le navigateur Web. Dès le lendemain, la société a décidé de publier un correctif pour corriger les deux problèmes dans la mise à jour de Firefox 66.0.1.
Pour ceux qui ne connaissent pas Pwn2Own, il s’agit essentiellement d’un concours annuel de piratage. Il offre aux chercheurs en sécurité une excellente occasion de démontrer de nouveaux bogues jour zéro.
En échange de leurs efforts, le programme Zero Day Initiative (ZDI) de Trend Micro les récompense avec une belle somme.
Le duo @fluoroacétate le fait à nouveau. Ils ont utilisé une confusion de type dans #Edge, une condition de concurrence dans le noyau, puis une écriture hors limites dans #VMware pour passer d'un navigateur dans un client virtuel à l'exécution de code sur le système d'exploitation hôte. Ils gagnent 130 000 $ plus 13 points Master of Pwn. pic.twitter.com/mD13kozJLv
- Initiative Zero Day (@thezdi) le 21 mars 2019
Pwn2Own Roundup
Les chercheurs qui ont démontré de nouvelles vulnérabilités dans Oracle VirtualBox, Apple Safari et VMware Workstation ont reçu 240 000 USD le premier jour de Pwn2Own 2019.
À l'approche du deuxième jour, ZDI a alloué 270 000 USD aux chercheurs qui ont identifié de nouveaux bogues dans les navigateurs Edge et Mozilla Firefox de Microsoft.
Voici comment les chercheurs ont réussi à pirater Edge:
C'est tout ce qu'il fallait pour passer d'un navigateur dans un client de machine virtuelle à l'exécution de code sur l'hyperviseur sous-jacent. Ils ont commencé avec un bogue de confusion de types dans le navigateur Microsoft Edge, puis ont utilisé une condition de concurrence critique dans le noyau Windows, suivie d'une écriture hors limites sur le poste de travail VMware.
Plus important encore, Richard Zhu et Amat Cama, officiellement connus sous le nom de Fluoroacétate, ont démontré que le défaut d’escalade du noyau dans Firefox 66 était récompensé par un prix de 50 000 $. Niklas Baumstark a utilisé une technique d’évasion de type bac à sable pour exploiter Firefox 66.0 et a reçu une récompense de 40 000 dollars.
Toutes ces vulnérabilités ont été signalées à Microsoft et Mozilla, et les sociétés qui travaillent sur les correctifs devraient être publiées dans les prochaines mises à jour.
Dell s'est fait pirater, conseille aux utilisateurs de changer les mots de passe
Dell piraté Faut-il s'inquiéter de la sécurité de l'une des principales sociétés de technologie du monde? Oui, nous devrions. Lisez la suite pour savoir pourquoi ...
Halo wars: l'édition définitive apporte son lot de problèmes, correctif entrant
Halo Wars: Definitive Edition est maintenant disponible en tant que jeu à accès anticipé. Le jeu est une version améliorée du classique de la stratégie, Halo Wars, dans lequel les fans peuvent revenir aux débuts de la guerre entre le Covenant et le CSNU et en faire l’expérience différente. Halo Wars: Definitive Edition c'est maintenant…
L'émulateur de bras Windows 10: qu'est-ce que c'est et qu'est-ce qu'il fait
Dans cet article rapide, nous vous expliquons ce qu'est un émulateur Windows 10 ARM et ce qu'il fait.