На соревновании Pwn2Own 2018 были выявлены новые уязвимости Firefox и Edge
В Канаде завершилось соревнование хакеров Pwn2Own 2018. Победитель конкурса взломал браузеры Mozilla Firefox и Microsoft Edge, за что получил 120 000 $.
В Ванкувере завершился двухдневный конкурс Pwn2Own 2018, в ходе которого были взломаны браузеры Mozilla Firefox и Microsoft Edge. Из призового фонда размером 2 000 000 $ хакерам было отдано 267 000 $, что намного меньше, чем в предыдущие годы.
Вмешательство властей Китая
Небольшой размер выплат связан с уменьшенным количеством участников. Власти Китая запретили своим хакерам участвовать в конкурсе из-за нежелания помогать компаниям из других стран исправлять уязвимости.
Победители Pwn2Own 2018
Главным призером конкурса стал Ричард Чжу (Richard Zhu), набравший 12 баллов за взлом браузеров Edge и Firefox и выигравший 120 000 $. При взломе он использовал уязвимости use-after-free (UAF) и out-of-bounds (OOB).
Хакеру Никласу Баумстарку (Niklas Baumstark) удалось частично взломать VirtualBox при помощи эксплойтов OOB и TOCTOU. Сэмюэль Гросс (Samuel Groß) и команда MWR Labs взломали Safari, используя ошибки в JIT-компиляции, баги macOS и переполнение буфера браузера.
Исправление уязвимостей
Конкурс был организован компанией Zero Day Initiative (ZDI). Она связалась с разработчиками программ и сообщила о найденных уязвимостях. Они должны быть исправлены в течение 90 дней.
Mozilla уже выпустила обновления Firefox 59.0.1 и 52.7.2 с исправлением уязвимостей. Проблема заключалась в библиотеках libvorbis и libtremor, которые позволяли записывать данные за границу буфера при обработке модифицированного звукового файла в формате Vorbis. Приложения и дистрибутивы, в которых используются старые версии этих библиотек, до сих пор уязвимы для взлома.
В конце января организаторы Pwn2Own 2018 обещали дать 250 000 $ тому, кто взломает Hyper-V в режиме гипервизора. Большая часть программ, включая Hyper-V, браузер Google Chrome и приложение Adobe Reader, взломаны не были.