Mozilla je objavila sigurnosna ažuriranja kako bi popravila dvije ranjivosti nultog dana u web pretraživaču Firefox koje su iskorišćene tokom hakerskog takmičenja Pwn2Own Vancouver 2024.
Manfred Paul (@_manfp) je zaradio nagradu od 100.000 dolara i 10 Master of Pwn poena nakon što je iskoristio out-of-bounds (OOB) grešku u pisanju (CVE-2024-29943) kako bi dobio daljinsko izvršavanje koda i pobjegao iz sandboxa Mozilla Firefox-a koristeći izloženu opasnu slabost funkcije (CVE-2024-29944).
Mozilla kaže da prva ranjivost može dozvoliti napadačima da pristupe JavaScript objektu out-of-bounds korištenjem eliminacije provjere granica zasnovanih na opsegu na ranjivim sistemima.
“Napadač je bio u mogućnosti da izvrši out-of-bounds čitanje ili pisanje na JavaScript objektu obmanjujući eliminaciju provjere granica temeljene na rasponu.”, objasnila je Mozilla.
Druga je opisana kao privilegovano izvršavanje JavaScripta putem rukovalaca događaja koji bi mogli omogućiti napadaču da izvrši proizvoljni kod u nadređenom procesu Firefox Desktop web pretraživača.
Mozilla je popravila sigurnosne propuste u Firefoxu 124.0.1 i Firefox ESR 115.9.1 kako bi blokirala potencijalne napade daljinskog izvršavanja koda koji ciljaju nezakrpljene web pretraživače na desktop uređajima.
Dva sigurnosne propusta zakrpljena su samo jedan dan nakon što ih je Manfred Paul iskoristio i prijavio na Pwn2Own hakerskom takmičenju.
Međutim, nakon takmičenja Pwn2Own, dobavljači obično ne žure da objave zakrpe jer imaju 90 dana da proguraju popravke dok ih Trend Micro-ova inicijativa Zero Day Initiative javno ne otkrije.
Pwn2Own 2024 Vancouver završen je 22. marta nakon što su istraživači sigurnosti zaradili 1.132.500 dolara za 29 eksploatacija i lanaca eksploatacije prikazanih tokom dva dana takmičenja.
Manfred Paul osvojio je ovogodišnje izdanje sa 25 Master of Pwn bodova i 202.500 dolara u novčanoj nagradi nakon što je također hakovao Apple Safari, Google Chrome i Microsoft Edge web pretraživače.
Prvog dana, dobio je daljinsko izvršenje koda (RCE) u Safariju preko PAC zaobilaznice i integer underflow bug zero-day combo. Također je demonstrirao RCE exploit dvostrukim dodirom koji cilja na neispravnu validaciju specificirane količine u ulaznoj slabosti kako bi oborio Chrome i Edge.
ZDI je nagradio ukupno 3,494,750 dolara i dva Tesla Model 3 automobila tokom posljednja tri Pwn2Own hakerska takmičenja (Toronto, Tokyo Automotive i Vancouver).
Izvor: BleepingComputer
