-> ->

Mozilla понадобилось всего 22 часа на устранение критического бага в Firefox

На прошлой неделе в Канаде проходил ежегодный хакерский конкурс Pwn2Own, на котором хакеры со всего мира взламывали популярные программные продукты и получали за это деньги. В браузере Firefox в этом году им удалось обнаружить всего одну уязвимость.

Сразу же после того, как информация о ней поступила в компанию, специалисты принялись за работу по исправлению обнаруженной уязвимости. К всеобщему удивлению, на это ушло всего 22 часа. Отметим, что согласно правилам конкурса, хакеры для осуществления взлома могут использовать только критические уязвимости нулевого дня, которые еще не были исправлены.

После исправления уязвимости компания Mozilla выпустила очередное обновление, которое стало доступно пользователям под номером 52.0.1. В нем как раз содержатся заплатки для обнаруженной хакерами дыры.

На конкурсе обнаружили уязвимость и использовали ее для совершения атаки на Firefox китайские хакеры из команды Chaitin Security Research Lab. С помощью этой дыры им удалось повысить свои привилегии в системе и выполнить удаленно через браузер произвольный код. Чтобы довести свою атаку до логического конца, использовалась также ошибка в инициализации буфера в ядре операционной системы Windows. Благодаря проделанной работе хакеры смогли заработать 30 тысяч долларов.

В самой компании Mozilla уже прокомментировали обнаруженную в их браузере уязвимость. Специалисты отметили, что при использовании одного только лишь браузера используемая функция совершенно неопасна, так как она выполняется в песочнице. Но если ее объединить с другой уязвимостью, например в ядре Windows, то можно запросто добиться удаленного выполнения произвольного кода на компьютере любого пользователя, что, в принципе, и сделали хакеры на конкурсе.

Сам конкурс для некоторых команд прошел очень успешно, так как им удалось заработать вполне солидные суммы. Одно из самых крупных денежных вознаграждений получил исследователь Ричард Чжу, который в Сети больше известен как fluorescence. Он смог взломать браузер Microsoft Edge и повысить свои привилегии в системе до системного уровня. Для этого он использовал одновременно две уязвимости, за что получил 55 тысяч долларов.

Но самое крупное вознаграждение ждало тех, кому удалось взломать виртуальную машину vmware Workstation. Первой свои хакерские умения продемонстрировала команда 360 Security. На это ей понадобилось всего 90 секунд, причем для этого они использовали уязвимость в браузере Edge. За это хакеры получили вознаграждение в размере 100 тысяч долларов. Столько же удалось заработать и команде Tencent Security Team Sniper. Правда, для побега с виртуальной машины она использовала одновременно 3 уязвимости.

Всего же за три конкурсных дня хакерам удалось заработать 833 тысячи долларов. Это почти в 2 раза больше, чем годом ранее, и почти на 300 тысяч больше, чем в 2015 году.

Судя по всему, кроме Mozilla больше ни одна компания не планирует выпускать срочные патчи с исправлением своих уязвимостей. Вероятнее всего, заплатки для критических дыр выйдут вместе с очередными обновлениями.

Поставить рейтинг:(Рейтинг: 2.83, оценок: 272)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.