Los investigadores de seguridad hackearon los derechos de Microsoft Edge y Mozilla Firefox y ganaron un premio en efectivo de $270.000 en el evento de hacking Pwn2Own.
El 19 de marzo se anunció el lanzamiento del navegador Firefox 66, por lo que la compañía permitió que hackers amigos lo atacaran para detectar posibles vulnerabilidades de seguridad.
Los investigadores identificaron dos problemas en el navegador web. Al día siguiente, la compañía decidió lanzar un parche para arreglar ambos en la actualización de Firefox 66.0.1.
Aquellos que no son conscientes de Pwn2Own, es básicamente una competencia anual de hacking.Proporciona una gran oportunidad a los investigadores de seguridad para que puedan demostrar nuevos errores de día cero.
A cambio de sus esfuerzos, la Iniciativa Día Cero (ZDI) de Trend Micro les recompensa con una cantidad atractiva.
Resumen de Pwn2Own
Los investigadores que demostraron nuevas vulnerabilidades en Oracle VirtualBox, Apple Safari y VMware recibieron 240.000 dólares el primer día de Pwn2Own 2019.
Hacia el segundo día, ZDI otorgó una cantidad de $270,000 a aquellos investigadores que identificaron nuevos errores en el navegador Edge de Microsoft y Mozilla Firefox.
Así es como los investigadores lograron hack Edge :
Eso es todo lo que se necesita para pasar de un navegador en un cliente de máquina virtual a ejecutar código en el hipervisor subyacente. Empezaron con un error de confusión de tipo en el navegador de Microsoft Edge, luego usaron una condición de carrera en el kernel de Windows seguido de una escritura fuera de límites en la estación de trabajo de VMware
.
Y lo que es más importante, el fallo de escalado del núcleo en Firefox 66 fue demostrado por Richard Zhu y Amat Cama, oficialmente conocido como Fluoroacetate, recibió un premio de 50.000 dólares. Niklas Baumstark utilizó una técnica de escape de arenero para explotar Firefox 66.0 y recibió un premio de 40.000 dólares.
Todas estas vulnerabilidades han sido reportadas a Microsoft y Mozilla, y las compañías están trabajando en los parches que se espera lanzarán en las próximas actualizaciones.