image

Onderzoekers laten ook zero-days in Firefox en Edge zien

vrijdag 22 maart 2019, 09:54 door Redactie, 2 reacties

In Mozilla Firefox en Microsoft Edge zitten meerdere kwetsbaarheden waardoor aanvallers het onderliggende systeem volledig kunnen overnemen en beveiligingsupdates zijn nog niet beschikbaar. Dat hebben onderzoekers tijdens de tweede dag van de Pwn2Own-wedstrijd in Vancouver laten zien.

Op de eerste dag werden onbekende kwetsbaarheden in Apple Safari, Oracle VirtualBox en VMware Workstation gedemonstreerd. Pwn2Own is een jaarlijks terugkerend evenement van het Zero Day Initiative dat onderzoekers beloont voor het demonstreren van zerodayaanvallen tegen browsers en andere populaire software. Gedemonstreerde kwetsbaarheden worden met de betreffende softwareleverancier gedeeld, zodat die beveiligingsupdates kan ontwikkelen.

Tijdens de tweede dag van het evenement stonden alleen demonstraties tegen Edge en Firefox gepland. Beide browsers werden elk twee keer gehackt, waarbij alleen het bezoeken van een kwaadaardige website volstond om het onderliggende systeem over te nemen. De negen unieke kwetsbaarheden die hier in totaal voor werden gebruikt leverden de onderzoekers 270.000 dollar op. Wanneer Microsoft en Mozilla updates voor de gedemonstreerde kwetsbaarheden zullen uitbrengen is nog onbekend.

Vandaag is de laatste dag van Pwn2Own. Twee teams zullen proberen om een Tesla Model 3 op afstand over te nemen. Het team dat hier als eerste in slaagt krijgt naast een financiële beloning ook een Tesla Model 3. Gezien het resterende programma is er dit jaar geen poging geweest om Google Chrome te hacken. Naast browsers en de Tesla Model 3 konden onderzoekers er ook voor kiezen om aanvallen tegen Adobe Reader, Microsoft Office 365, Microsoft Outlook, Microsoft Hyper-V en Windows RDP te demonstreren, maar voor deze software ontving de organisatie geen inzendingen.

Reacties (2)
22-03-2019, 14:46 door Anoniem
Goede impliciete marketing, Chrome. "Wij zijn de enige browser die niet gehacked is tijdens deze wedstrijd (wij doen namelijk niet mee)"
22-03-2019, 21:12 door Anoniem
Er is een update voor Firefox verschenen (vandaag op 22 maart)
https://www.mozilla.org/en-US/security/advisories/mfsa2019-09/

Zover ik heb begrepen gaat het om een patch voor de JIT-bug die bij bleepingcomputer is beschreven.
https://www.bleepingcomputer.com/news/security/mozilla-firefox-and-microsoft-edge-hacked-on-second-day-of-pwn2own/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.