セキュリティ研究者は、Microsoft EdgeとMozilla Firefoxを正しくハッキングし、Pwn2Ownハッキングイベントで賞金27万ドルを獲得しました。

Firefox 66ブラウザーは3月19日に発表されたため、潜在的なセキュリティの脆弱性を検出するために、フレンドリーなハッカーに攻撃を許可しました。

研究者は、Webブラウザーで2つの問題を特定しました。 翌日、同社はFirefox 66.0.1アップデートで両方を修正するパッチをリリースすることを決定しました。

Pwn2Ownを知らない人は、基本的に毎年恒例のハッキング競技です。 これは、セキュリティ研究者に新しいゼロデイバグを示すことができるようにする絶好の機会を提供します。

彼らの努力の見返りとして、トレンドマイクロのゼロデイイニシアチブ（ZDI）は、彼らに見返りを与えます。

@fluoroacetateデュオが再びそれを行います。 彼らは、カーネル内の競合状態である#Edgeでのタイプの混乱を使用し、その後、#VMwareでの境界外の書き込みを使用して、仮想クライアントのブラウザーからホストOSでコードを実行しました。 彼らは$ 13万に加えて13のMaster of Pwnポイントを獲得します。 pic.twitter.com/mD13kozJLv

- Zero Day Initiative（@thezdi）2019年3月21日

Pwn2Ownラウンドアップ

Oracle VirtualBox、Apple Safari、およびVMwareワークステーションで新しい脆弱性を実証した研究者は、Pwn2Own 2019の初日に240, 000ドルを受賞しました。

2日目に向けて、ZDIはMicrosoftのEdgeおよびMozilla Firefoxブラウザーで新しいバグを特定した研究者に27万ドルを授与しました。

これが研究者がEdgeをハッキングする方法です。

仮想マシンクライアントのブラウザーから、基盤となるハイパーバイザーでコードを実行するのに必要な作業はそれだけです。 彼らは、Microsoft Edgeブラウザーのタイプ混乱バグで始まり、Windowsカーネルで競合状態を使用し、その後VMwareワークステーションで境界外書き込みを行いました。

最も重要なことは、Firefox 66のカーネルエスカレーションの欠陥がRichard Zhuによって実証され、フルオロ酢酸として正式に知られるAmat Camaが50, 000ドルの賞を受賞したことです。 Niklas Baumstarkは、サンドボックスエスケープ技術を使用してFirefox 66.0を悪用し、40, 000ドルの賞を受賞しました。

これらの脆弱性はすべてMicrosoftとMozillaに報告されており、パッチに取り組んでいる企業は次のアップデートでリリースされる予定です。