Mozilla, PWN2own Vancouver 2024 hack yarışması sırasında Firefox web tarayıcısında iki sıfır günlük güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
Manfred Paul (@_manfp), uzaktan kod yürütme ve kaçan Mozilla Firefox'un kum havuzunu kullanarak, sınır dışı bir (OOB) yazma kusurunu (CVE-2024-29943) kullandıktan sonra 100.000 dolarlık bir ödül ve 10 Master PWN puanı kazandı. fonksiyon zayıflığı (CVE-2024-29944).
Mozilla, ilk güvenlik açığının, saldırganların aralık tabanlı sınırlardan yararlanarak bir JavaScript nesnesine bağlı bir nesneye erişmesine izin verebileceğini söylüyor.
Mozilla, "Bir saldırgan, menzil tabanlı sınırlar kontrolü eliminasyonunu kandırarak bir JavaScript nesnesi üzerine sınır dışı bir okuma veya yazabildi."
İkincisi, bir saldırganın Firefox masaüstü web tarayıcısının ana işleminde keyfi kod yürütmesini sağlayabilecek olay işleyicileri aracılığıyla ayrıcalıklı bir JavaScript yürütme olarak tanımlanır.
Mozilla, masaüstü aygıtlarda eşleştirilmemiş web tarayıcıları hedefleyen potansiyel uzaktan kod yürütme saldırılarını engellemek için Firefox 124.0.1 ve Firefox ESR 115.9.1'deki güvenlik kusurlarını düzeltti.
İki güvenlik açığı, Manfred Paul'un sömürülmesinden sadece bir gün sonra yamalandı ve onları PWN2OWN Hacking yarışmasında bildirdi.
Bununla birlikte, PWN2own yarışmasından sonra, satıcılar genellikle Trend Micro'nun sıfır günlük girişimi bunları açıklayana kadar düzeltmeleri zorlamak için 90 güne sahip oldukları için yamaları serbest bırakmaya zaman ayırırlar.
PWN2OWN 2024 Vancouver, güvenlik araştırmacılarının 29 sıfır gün istismarı için 1.132.500 dolar kazandıktan sonra 22 Mart'ta sona erdi.
Manfred Paul, Apple Safari, Google Chrome ve Microsoft Edge web tarayıcılarını da hackledikten sonra 25 Master of PWN puanı ve 202.500 dolar nakit ödülle kazandı.
İlk gün, bir PAC baypası ve bir tamsayı düşük hata sıfır gün kombinasyonu aracılığıyla Safari'de uzaktan kod yürütme (RCE) kazandı. Ayrıca, krom ve kenarı indirmek için giriş zayıflığında belirtilen miktarın uygunsuz bir validasyonunu hedefleyen çift dokunuşlu bir RCE istismarını da azalttı.
ZDI, son üç PWN2own hack yarışması (Toronto, Tokyo Automotive ve Vancouver) sırasında toplam 3.494.750 $ ve iki Tesla Model 3 otomobil verdi.
Bilgisayar korsanları Pwn2own Vancouver'da 29 sıfır gün için 1.132.500 dolar kazanıyor
Windows 11, Tesla ve Ubuntu Linux Pwn2own Vancouver'da hacklendi
Apple, iPhone'lara yönelik saldırılarda sömürülen iki yeni iOS sıfır gününü düzeltir
Microsoft Şubat 2024 Patch Salı 2 sıfır gün, 73 kusur düzeltiyor
PWN2OWN Automotive: 49 sıfır gün için 1,3 milyon dolar, Tesla iki kez hacklendi
Kaynak: Bleeping Computer