Güvenlik araştırmacıları Microsoft Edge ve Mozilla Firefox'u hacklediler ve Pwn2Own hack etkinliğinde $ 270K tutarında nakit para ödülü kazandı.

Firefox 66 tarayıcısı 19 Mart’ta ilan edildiğinden, şirket olası güvenlik açıklarını tespit etmek için kullanıcı korsanlarının saldırmasına izin verdi.

Araştırmacılar web tarayıcısında iki konu belirlediler. Ertesi gün, şirket her ikisini de Firefox 66.0.1 güncellemesinde düzeltmek için bir düzeltme eki yayınlamaya karar verdi.

Pwn2Own'un farkında olmayanlar, temelde yıllık hack yarışmasıdır. Güvenlik araştırmacılarına sıfır günlük yeni hatalar gösterebilmeleri için harika bir fırsat sunuyor.

Çabalarına karşılık, Trend Micro'nun Zero Day Initiative (ZDI), onları yakışıklı bir miktarla ödüllendirdi.

Floroasetat ikilisi tekrar yapar. #Edge'de bir tür karışıklık, çekirdekte bir yarış koşulu, ardından sanal bir istemcideki bir tarayıcıdan ana işletim sistemi üzerinde kod çalıştırmaya gitmek için sınırlar dışında bir #VMware yazıyorlardı. 130.000 $ artı 13 Master of Pwn puanı kazanıyorlar. pic.twitter.com/mD13kozJLv

- Sıfır Gün Girişimi (@thezdi) 21 Mart 2019

Pwn2Own Geçen Hafta

Oracle VirtualBox, Apple Safari ve VMware iş istasyonunda yeni güvenlik açıkları gösteren araştırmacılara Pwn2Own 2019'un ilk gününde 240.000 $ verildi.

İkinci güne ilerleyen ZDI, Microsoft'un Edge ve Mozilla Firefox tarayıcısında yeni hatalar tespit eden araştırmacılara 270.000 $ tutarında bir ödül verdi.

Araştırmacılar Edge’i hacklemeyi nasıl başardılar?

Sanal makine istemcisindeki bir tarayıcıdan altta yatan hiper yönetici üzerinde kod çalıştırmaya gitmek için gereken tek şey bu. Microsoft Edge tarayıcısında bir tür karışıklık hatası ile başladılar, daha sonra Windows çekirdeğinde bir yarış durumu kullandılar ve ardından VMware iş istasyonunda sınır dışı bir yazma yaptılar.

En önemlisi, Firefox 66'daki çekirdek yükseltme hatası, Fluoroacetate olarak bilinen resmen Richard Zhu ve Amat Cama tarafından gösterildi ve 50.000 $ ödül aldı. Niklas Baumstark, Firefox 66.0'dan yararlanmak için bir sandbox kaçış tekniği kullandı ve 40.000 $ ödül aldı.

Bu güvenlik açıklarının tümü Microsoft ve Mozilla'ya bildirildi ve şirketlerin yamalar üzerinde çalışacaklarını sonraki güncellemelerde yayınlamaları bekleniyor.