Mozilla a lansat actualizări de securitate pentru a rezolva două vulnerabilități zero-day în browser-ul web Firefox exploatate în timpul competiției de hacking Pwn2Own Vancouver 2024.
Manfred Paul (@_manfp) a primit o recompensă de 100.000 de dolari și 10 puncte Master of Pwn după ce a exploatat o defecțiune de scriere out-of-bounds (OOB) (CVE-2024-29944) pentru a obține execuție de cod la distanță și a evadat sandbox-ul Mozilla Firefox folosind o slăbiciune a unei funcții periculoase expuse (CVE-2024-29943).
Mozilla descrie prima vulnerabilitate ca o execuție privilegiată JavaScript prin intermediul gestionarilor de evenimente care ar putea permite unui atacator să execute cod arbitrar în procesul părinte al browser-ului web Firefox Desktop.
A doua vulnerabilitate poate permite atacatorilor să acceseze un obiect JavaScript out-of-bounds prin exploatarea eliminării verificării limitelor pe baza de interval pe sistemele vulnerabile.
„Un atacator a putut efectua o citire sau scriere out-of-bounds pe un obiect JavaScript prin inducerea în eroare a eliminării verificării limitelor pe baza de interval,” a explicat Mozilla.
Mozilla a rezolvat problemele de securitate în Firefox 124.0.1 și Firefox ESR 115.9.1 pentru a bloca potențialele atacuri de execuție de cod la distanță îndreptate împotriva browserelor web neactualizate de pe dispozitivele desktop.
Cele două vulnerabilități de securitate au fost remediate doar o zi după ce Manfred Paul le-a exploatat și le-a raportat la concursul de hacking Pwn2Own.
Cu toate acestea, după competiția Pwn2Own, furnizorii de obicei își iau timp pentru a lansa patch-uri, deoarece au 90 de zile pentru a implementa remedierile până când Zero Day Initiative de la Trend Micro le dezvăluie public.
Pwn2Own 2024 Vancouver s-a încheiat pe 22 martie după ce cercetătorii în securitate au câștigat 1.132.500 de dolari pentru 29 exploit-uri zero-day și lanțuri de exploatare demonstrate pe parcursul a două zile ale concursului.
Manfred Paul a câștigat ediția din acest an cu 25 de puncte Master of Pwn și 202.500 de dolari în premii după ce a hack-uit și browser-urile web Apple Safari, Google Chrome și Microsoft Edge.
În prima zi, el a obținut execuție de cod la distanță (RCE) în Safari prin intermediul unei bypass-uri PAC și a unui bug zero-day de subflux de întregi. De asemenea, a demonstrat un exploit RCE de dublu-tap țintind o slăbiciune a Validării Improprii a Cantității Specificate în intrare pentru a doborî Chrome și Edge.
ZDI a acordat un total de 3.494.750 de dolari și două mașini Tesla Model 3 în cadrul ultimelor trei concursuri de hacking Pwn2Own (Toronto, Tokyo Automotive și Vancouver).
Hackerii câștigă 1.132.500 de dolari pentru 29 de zero-day-uri la Pwn2Own Vancouver
Windows 11, Tesla și Ubuntu Linux hack-uite la Pwn2Own Vancouver
Apple rezolvă două noi zero-day-uri iOS exploatate în atacuri asupra iPhone-urilor
Microsoft Patch Tuesday februarie 2024 rezolvă 2 zero-day-uri, 73 de probleme
Automobilul Pwn2Own: 1,3 milioane de dolari pentru 49 de zero-day-uri, Tesla hack-uit de două ori
Leave a Reply