Sicherheitsforscher haben Microsoft Edge und Mozilla Firefox richtig gehackt und beim Pwn2Own-Hacking-Event einen Geldpreis von 270.000 US-Dollar verdient.

Der Firefox 66-Browser wurde am 19. März angekündigt, sodass das Unternehmen freundliche Hacker angreifen ließ, um potenzielle Sicherheitslücken zu erkennen.

Die Forscher identifizierten zwei Probleme im Webbrowser. Bereits am nächsten Tag beschloss das Unternehmen, einen Patch zu veröffentlichen, um beide Probleme im Firefox 66.0.1-Update zu beheben.

Diejenigen, die Pwn2Own nicht kennen, es handelt sich im Grunde genommen um einen jährlichen Hacking-Wettbewerb. Es bietet Sicherheitsforschern eine großartige Gelegenheit, neue Zero-Day-Bugs aufzudecken.

Im Gegenzug für ihre Bemühungen werden sie von der Zero Day Initiative (ZDI) von Trend Micro mit einer beachtlichen Summe belohnt.

Das @fluoroacetate-Duo macht es wieder. Sie verwendeten eine Typverwirrung in #Edge, eine Racebedingung im Kernel, und dann ein Überschreitungsschreiben in #VMware, um von einem Browser in einem virtuellen Client zum Ausführen von Code auf dem Host-Betriebssystem zu gelangen. Sie verdienen $ 130.000 plus 13 Master of Pwn-Punkte. pic.twitter.com/mD13kozJLv

- Zero Day Initiative (@thezdi) 21. März 2019

Pwn2Own Roundup

Die Forscher, die neue Sicherheitslücken in Oracle VirtualBox, Apple Safari und VMware Workstation aufgedeckt haben, erhielten am ersten Tag des Pwn2Own 2019 240.000 US-Dollar.

Am zweiten Tag vergab das ZDI einen Betrag von 270.000 US-Dollar an die Forscher, die neue Fehler in den Browsern Edge und Mozilla Firefox von Microsoft entdeckt hatten.

So gelang es Forschern, Edge zu hacken:

Das war alles, was es brauchte, um von einem Browser in einem Client für virtuelle Maschinen zum Ausführen von Code auf dem zugrunde liegenden Hypervisor zu gelangen. Sie begannen mit einem Typverwirrungsfehler im Microsoft Edge-Browser und verwendeten dann eine Race-Bedingung im Windows-Kernel, gefolgt von einem Überschreibschreiben in VMware Workstation

Vor allem wurde der Kernel-Eskalationsfehler in Firefox 66 von Richard Zhu demonstriert, und Amat Cama, offiziell bekannt als Fluoracetat, erhielt eine Auszeichnung für 50.000 US-Dollar. Niklas Baumstark nutzte eine Sandbox-Escape-Technik, um Firefox 66.0 auszunutzen, und erhielt eine Auszeichnung in Höhe von 40.000 US-Dollar.

Alle diese Sicherheitsanfälligkeiten wurden Microsoft und Mozilla gemeldet, und die Unternehmen, die an den Patches arbeiten, werden voraussichtlich in den nächsten Updates veröffentlicht.