Edge je vdrl v prvi dan Pwn2Own 2018
3 min. prebrati
Posodobljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Microsoft namerava uporabnike, ki uporabljajo aplikacijo Windows Mail, prisiliti k odpiranju spletnih povezav v Edgeu, a le dan prej je bil dober primer, zakaj je bila to slaba ideja, saj je bil Edge eden prvih brskalnikov, ki je padel v udar letošnjega hekerja Pwn2Own. tekmovanje.
Na 11. letnem tekmovanju Pwn2Own, ki je potekalo med konferenco CanSecWest 2018 v Vancouvru, je hekerju iz Britanske Kolumbije Richardu Zhu uspelo z uporabo dveh hroščev brskalnika in jedra razbiti Microsoft Edge ter mu prinesel 70,000 $.
»Na koncu je uporabil dve napaki brez uporabe (UAF) v brskalniku in celoštevilsko prelivanje v jedru, da je uspešno zagnal svojo kodo z povišanimi privilegiji. Dramatični napor mu je prinesel 70,000 $ in 7 točk proti Master of Pwn,« ugotavlja ZDI.
Zhu je prej istega dne poskušal vdreti v Applov brskalnik Safari, a mu ni uspelo. Vendar je Safari kasneje dneva padel v roke Samuela Großa, ki je "uporabil kombinacijo napake za optimizacijo JIT v brskalniku, logične napake macOS, da bi pobegnil iz peskovnika, in končno prepis jedra za izvajanje kode z razširitvijo jedra za uspešno izkoristite Apple Safari." Da bi pokazal svoje popolno lastništvo nad operacijskim sistemom, je na vrstici na dotik MacBook Pro v zelenem besedilu prikazal »pwned by saelo =)«, kar mu je prineslo 65,000 $ in 6 točk za Master of Pwn.
Še enemu hekerju je uspelo premagati Oracle VirtualBox.
Microsoftu je uspelo preprečiti nekatere hekerje z izdajo 75 varnostnih posodobitev ta torek, zaradi česar so se nekateri umaknili iz tekmovanja.
Kot je dejal Trend Micro: »Nikoli ne vemo, kaj se bo zgodilo, ko prispemo na tekmovanje. Ne glede na to, ali Pwn2Own pade blizu ali takoj po Microsoftovem popravku v torek, bodo številni prodajalci odločili, da izdajo popravke pred tekmovanjem. Torej, na primer, če tekmovalec dela na Microsoftovi ranljivosti, bi lahko njegov vstop preprečile Microsoftove posodobitve. Nekaj vnosov, ki so bili letos umaknjeni, je postalo "žrtev" prodajalcev, ki so izdajali popravke."
Microsoft je sponzor Pwn2Own in v objavi na spletnem dnevniku ugotavlja:
»Tekmovanja za izkoriščanje so odlične priložnosti, saj omogočajo Microsoftovim inženirjem, da izmenjajo ideje iz oči v oči s skupnostjo. To vključuje zapletene podrobnosti, kot so pristopi napada, uporabljene tehnike in možnosti za izboljšanje podobnih napadov. Medtem ko se programi za nagrajevanje napak osredotočajo na ranljivosti, se tekmovanja, kot je PWN2OWN, osredotočajo na verige izkoriščanja, ki so običajno vidne le pri resničnih napadih.
On drugi dan tekmovanja, brskalnik Firefox in Safari sta bila ponovno vdrta, pri čemer je bil Googlov brskalnik Chrome trenutno zadnji.
Via thezdi.com, CSOOnline
