Google, PWN2OWN Vancouver 2024 hackleme yarışması sırasında kullanılan iki sıfır günü de dahil olmak üzere Salı günü Chrome Web tarayıcısında yedi güvenlik açığı düzeltildi.
Birincisi (CVE-2024-2887 olarak izlendi), Webassembly (WASM) açık standartta yüksek şiddetli bir karışıklık zayıflığıdır. Manfred Paul, hazırlanmış bir HTML sayfası kullanarak ve hem Chrome hem de Edge'i hedefleyen çift dokunuşlu bir uzaktan kumanda yürütme (RCE) istismarının bir parçası olarak PWN2OWN'ın ilk gününde bu güvenlik açığını demo etti.
İkinci sıfır gün CVE-2024-2886 olarak izlenir ve CanSecwest Pwn2own yarışmasının ikinci günü Kaist Hacking Lab'ın Seunghyun Lee tarafından kullanıldı.
Web uygulamaları tarafından ses ve video içeriğini kodlamak ve kodlamak için kullanılan WebCodecs API'sinde kullanıcı olmayan (UAF) zayıflık olarak tanımlanan, uzak saldırganların hazırlanmış HTML sayfaları aracılığıyla keyfi okumalar/yazmalar yapmasına izin verir.
Lee ayrıca, hem Google Chrome hem de Microsoft Edge'i hedefleyen tek bir istismar kullanarak uzaktan kod yürütme kazanmak için CVE-2024-2886'yı kullandı.
Google, Google Chrome kararlı kanaldaki iki sıfır gününü, Windows ve Mac için 123.0.6312.86/.87 sürümünü ve önümüzdeki günlerde dünya çapında piyasaya sürülecek olan Linux kullanıcıları için 123.0.6312.86'yı düzeltti.
Mozilla ayrıca, aynı gün böceklerin demo edildiği gün Pwn2own Vancouver 2024'te Manfred Paul tarafından sömürülen iki Firefox sıfır gününü sabitledi.
Mozille sadece bir gün ve Google bu güvenlik açıklarını yamalamak için beş gün sürse de, satıcılar genellikle Micro'nun Sıfır Günü girişimi kamuoyu ayrıntılarını açıklayana kadar düzeltmeleri itmek için 90 güne sahip oldukları için PWN2own'da demo edilen güvenlik kusurları için yamalar yayınlamak için zaman ayırırlar.
Ocak ayında Google, Chrome'da (CVE-2024-0519) aktif olarak sömürülen bir sıfır gün, saldırganların Chrome V8 JavaScript motorundaki sınır dışı bellek erişim zayıflığı nedeniyle hassas bilgilere erişmesine veya dövülmemiş tarayıcılara çarpmasına izin verdi.
PWN2OWN 2024 Vancouver yarışması 22 Mart'ta sona erdi ve güvenlik araştırmacıları iki gün boyunca 29 sıfır günlük istismar ve istismar zincirlerini göstermek için 1.132.500 dolar kazandı.
Manfred Paul, Apple Safari, Google Chrome ve Microsoft Edge Web tarayıcılarını düşürdükten sonra bu yılki kazanan olarak 202.500 dolar nakit ödülle ortaya çıktı.
Mozilla, PWN2OWN'da sömürülen iki Firefox sıfır gün hatasını düzeltir
Google: Casus Yazılım Satıcıları 2023'te Sıfır Günlerinin% 50'sinin Arkasında Sakin
Bilgisayar korsanları Pwn2own Vancouver'da 29 sıfır gün için 1.132.500 dolar kazanıyor
Windows 11, Tesla ve Ubuntu Linux Pwn2own Vancouver'da hacklendi
Microsoft, Chrome kullanıcılarını Windows'ta Bing Popup reklamları ile rahatsız ediyor
Kaynak: Bleeping Computer