Разработчики Mozilla и The Tor Project выпустили обновления для браузеров Firefox 66.0.1 и Tor 8.0.8. В этих версиях устранены две критические уязвимости, обнаруженные участниками Pwn2Own-2019.

Во второй день соревнования члены команды Fluoroacetate — Ричард Жу (Richard Zhu) и Амат Кама (Amat Cama) — продемонстрировали эксплойт уязвимости CVE-2019-9810 для Firefox и смогли выполнить в Windows сторонний код на системном уровне.

Для атаки потенциальным злоумышленникам достаточно было заманить жертву на специально созданный вредоносный сайт. Передав неверную информацию об алиасах при выполнении метода Array.prototype.slice в IonMonkey, злоумышленники смогли обойти этап проверки границ и переполнить буфер обмена. Демонстрация эксплойта принесла команде $50 тыс. в качестве приза.

Позднее в этот же день Никлас Баумстарк (Niklas Baumstark) получил $40 тыс. за PoC-эксплойт CVE-2019-9813. Брешь связана с неправильной обработкой изменений объектов с помощью свойства _ _proto_ _ и может привести к сбоям в JIT-коде компилятора IonMonkey, что позволит читать и записывать данные в произвольные области памяти. Воспользовавшись логической ошибкой Firefox, хакер смог выйти за пределы песочницы и выполнить в системе произвольный код от имени авторизованного пользователя. Обе уязвимости уже исправлены разработчиками Mozilla.

Схожего результата в браузере Microsoft Edge добился Артур Геркис (Arthur Gerkis) из Exodus Intelligence. Он использовал баг Double Free в механизме рендеринга и логическую ошибку программы, чтобы совершить побег из песочницы. За демонстрацию эксплойта Геркис получил $50 тыс.

Помимо Firefox «жертвами» Fluoroacetate на Pwn2Own-2019 стали браузер Safari, Oracle VirtualBox, VMware Workstation и Microsoft Edge. Третий, заключительный день соревнований, был посвящен взлому автомобилей. Здесь свое мастерство вновь показали хакеры из Fluoroacetate, взломав Tesla Model 3.

Таким образом, на Pwn2Own-2019 Жу и Кама заработали $375 тыс. и согласно условиям конкурса получили автомобиль Tesla Model 3. В общей сложности за три дня все участники заработали в качестве вознаграждений $545 тыс.

Категории: Кибероборона, Уязвимости