Mozilla выпустила обновления безопасности для устранения двух уязвимостей нулевого дня в браузере Firefox которые были использованы во время хакерских соревнований Pwn2Own Vancouver 2024.
Манфред Пол (@_manfp) получил награду в размере $100 000 и 10 баллов Master of Pwn после использования недостатка записи за пределами границ (OOB) (CVE-2024-29944) для удаленного выполнения кода и выхода из песочницы Mozilla Firefox с помощью уязвимости в открытой опасной функции ( CVE-2024-29943).
Mozilla описывает первую уязвимость как привилегированное выполнение JavaScript через обработчики событий, что может позволить злоумышленнику выполнить произвольный код в родительском процессе браузера Firefox.
Вторая уязвимость может позволить злоумышленникам получить доступ к объекту JavaScript за пределами границ, используя устранение проверки границ на основе диапазона в уязвимых системах.
«Злоумышленник смог выполнить чтение или запись за пределами границ на объекте JavaScript, обманув устранение проверки границ на основе диапазона»
- сообщает Mozilla
Mozilla исправила недостатки в браузерах Firefox 124.0.1 и Firefox ESR 115.9.1, чтобы блокировать возможные атаки удаленного выполнения кода, направленные на непропатченные браузеры на настольных компьютерах.
Эти две уязвимости были исправлены всего через день после того, как Манфред Пол использовал их и сообщил о них на хакерском конкурсе Pwn2Own.
Однако после конкурса Pwn2Own производители обычно не спешат выпускать исправления, поскольку у них есть 90 дней на то, чтобы выпустить исправления до публичного раскрытия инициативы Trend Micro Zero Day Initiative.
Конкурс Pwn2Own 2024 в Ванкувере завершился 22 марта. Исследователи безопасности заработали $1132500 ≈ 104 205 176 ₽ за 29 эксплойтов нулевого дня и цепочек эксплойтов, продемонстрированных в течение двух дней конкурса.
В этом году победил Манфред Пол, получивший 25 очков Master of Pwn и $202500 ≈ 18 632 714 ₽ в качестве денежного приза после взлома браузеров Apple Safari Google Chrome и Microsoft Edge
В первый день он добился удаленного выполнения кода (RCE) в Safari с помощью обхода PAC и целочисленного переполнения в ошибке нулевого дня. Он также продемонстрировал эксплойт RCE с двойным нажатием, использующий ошибку Improper Validation of Specified Quantity in Input, чтобы вывести из строя Chrome и Edge
ZDI получил в общей сложности $3494750 ≈ 321 563 830 ₽ и два автомобиля Tesla Model 3 в ходе трех последних хакерских конкурсов Pwn2Own (в Торонто, Токио-Авто и Ванкувере).
Комментарии (0)