Edge hackade den första dagen av Pwn2Own 2018
3 min. läsa
Uppdaterad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Microsoft planerar att tvinga användare som använder Windows Mail-appen att öppna webblänkar i Edge, men bara en dag tidigare fanns det ett bra exempel på varför detta var en dålig idé, eftersom Edge var en av de första webbläsarna som hamnade i årets Pwn2Own hacker tävling.
Vid den 11:e årliga Pwn2Own-tävlingen, som hölls under CanSecWest 2018-konferensen i Vancouver, lyckades hackaren Richard Zhu i British Columbia pwn Microsoft Edge genom att använda två webbläsar- och kärnbuggar, vilket gav honom 70,000 XNUMX $.
"Till slut använde han två use-after-free (UAF) buggar i webbläsaren och ett heltalsspill i kärnan för att framgångsrikt köra sin kod med förhöjda privilegier. Den dramatiska insatsen gav honom $70,000 7 och XNUMX poäng till Master of Pwn.” konstaterar ZDI.
Zhu hade tidigare samma dag försökt hacka Apples webbläsare Safari men misslyckades. Safari föll dock senare på dagen till Samuel Groß, som "använde en kombination av en JIT-optimeringsbugg i webbläsaren, en logikbugg för macOS för att fly sandlådan och slutligen en kärnöverskrivning för att exekvera kod med en kärntillägg för att lyckas utnyttja Apple Safari." För att visa sitt fullständiga ägande av operativsystemet visade han "pwned av saelo =)" i grön text på MacBook Pros Touch Bar, vilket gav honom $65,000 6 och XNUMX poäng till Master of Pwn.
En annan hackare lyckades besegra Oracle VirtualBox.
Microsoft lyckades omintetgöra några hackare genom att släppa 75 säkerhetsuppdateringar denna tisdag, vilket tvingade ett antal att dra sig ur tävlingen.
Som Trend Micro uttryckte det, "Vi vet aldrig vad som kommer att hända när vi kommer till tävlingen. Oavsett om Pwn2Own kommer nära eller direkt efter en Microsoft Patch Tuesday eller inte, kommer många leverantörer att göra det till en punkt att utfärda patchar inför tävlingen. Så, till exempel, om en tävlande råkar arbeta med en Microsoft-sårbarhet, kan deras inträde hindras av Microsofts uppdateringar. Ett par av bidragen som drogs tillbaka i år föll "offer" för leverantörer som utfärdade patchar."
Microsoft är en sponsor av Pwn2Own och noterar i ett blogginlägg:
"Exploitationstävlingar är fantastiska möjligheter eftersom det tillåter Microsofts ingenjörer att utbyta idéer ansikte mot ansikte med communityn. Detta inkluderar invecklade detaljer som attackmetoder, använda tekniker och möjligheter till förbättringar mot liknande attacker. Medan bug-bounty-program fokuserar på sårbarheter, fokuserar tävlingar som PWN2OWN på exploateringskedjor som vanligtvis bara ses i riktiga attacker."
On dag två av tävlingen, webbläsaren Firefox och Safari hackades återigen, med Googles webbläsare Chrome den sista mannen som står för närvarande.
Via thezdi.com, CSOOonline
