Написать пост

На соревновании Pwn2Own 2018 были выявлены новые уязвимости Firefox и Edge

Аватар Рамис Ганиев

В Канаде завершилось соревнование хакеров Pwn2Own 2018. Победитель конкурса взломал браузеры Mozilla Firefox и Microsoft Edge, за что получил 120 000 $.

В Ванкувере завершился двухдневный конкурс Pwn2Own 2018, в ходе которого были взломаны браузеры Mozilla Firefox и Microsoft Edge. Из призового фонда размером 2 000 000 $ хакерам было отдано 267 000 $, что намного меньше, чем в предыдущие годы.

Вмешательство властей Китая

Небольшой размер выплат связан с уменьшенным количеством участников. Власти Китая запретили своим хакерам участвовать в конкурсе из-за нежелания помогать компаниям из других стран исправлять уязвимости.

Превью видео SuDej3Ged8A
Превью видео T69WEDgZkDM

Победители Pwn2Own 2018

Главным призером конкурса стал Ричард Чжу (Richard Zhu), набравший 12 баллов за взлом браузеров Edge и Firefox и выигравший 120 000 $. При взломе он использовал уязвимости use-after-free (UAF) и out-of-bounds (OOB).

Хакеру Никласу Баумстарку (Niklas Baumstark) удалось частично взломать VirtualBox при помощи эксплойтов OOB и TOCTOU. Сэмюэль Гросс (Samuel Groß) и команда MWR Labs взломали Safari, используя ошибки в JIT-компиляции, баги macOS и переполнение буфера браузера.

На соревновании Pwn2Own 2018 были выявлены новые уязвимости Firefox и Edge 1

Исправление уязвимостей

Конкурс был организован компанией Zero Day Initiative (ZDI). Она связалась с разработчиками программ и сообщила о найденных уязвимостях. Они должны быть исправлены в течение 90 дней.

Mozilla уже выпустила обновления Firefox 59.0.1 и 52.7.2 с исправлением уязвимостей. Проблема заключалась в библиотеках libvorbis и libtremor, которые позволяли записывать данные за границу буфера при обработке модифицированного звукового файла в формате Vorbis. Приложения и дистрибутивы, в которых используются старые версии этих библиотек, до сих пор уязвимы для взлома.

В конце января организаторы Pwn2Own 2018 обещали дать 250 000 $ тому, кто взломает Hyper-V в режиме гипервизора. Большая часть программ, включая Hyper-V, браузер Google Chrome и приложение Adobe Reader, взломаны не были.

Следите за новыми постами
Следите за новыми постами по любимым темам
631 открытий631 показов