Mozilla, Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışması sırasında Firefox web tarayıcısında istismar edilen iki sıfır gün güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Manfred Paul (@_manfp) uzaktan kod yürütme elde etmek için sınır dışı (OOB) yazma kusurunu (CVE-2024-29944) istismar ettikten ve açığa çıkan tehlikeli işlev zayıflığını (CVE-) kullanarak Mozilla Firefox'un sanal alanından kaçtıktan sonra 100.000 ABD Doları ödül ve 10 Master of Pwn puanı kazandı. 2024-29943).
Mozilla, ilk güvenlik açığını, bir saldırganın Firefox Masaüstü web tarayıcısının ana işleminde rastgele kod yürütmesine olanak tanıyan, olay işleyicileri aracılığıyla ayrıcalıklı bir JavaScript yürütmesi olarak tanımlıyor.
İkincisi, saldırganların savunmasız sistemlerde aralık tabanlı sınır kontrolü ortadan kaldırılmasından yararlanarak sınırların dışındaki bir JavaScript nesnesine erişmesine izin verebilir.
Mozilla, “Bir saldırgan, aralık tabanlı sınır kontrolünün ortadan kaldırılmasını kandırarak bir JavaScript nesnesinde sınır dışı okuma veya yazma işlemi gerçekleştirebildi” diye açıkladı.
Mozilla, masaüstü cihazlardaki yama yapılmamış web tarayıcılarını hedef alan olası uzaktan kod yürütme saldırılarını engellemek için Firefox 124.0.1 ve Firefox ESR 115.9.1'deki güvenlik kusurlarını düzeltti.
İki güvenlik açığı, Manfred Paul'un Pwn2Own hackleme yarışmasında bunları istismar edip bildirmesinden yalnızca bir gün sonra yamandı.
Bununla birlikte, Pwn2Own yarışmasından sonra satıcılar, Trend Micro'nun Sıfır Gün Girişimi bunları kamuya açıklayana kadar düzeltmeleri yayınlamak için 90 günleri olduğundan, yamaları yayınlamak için genellikle zaman ayırırlar.
Pwn2Own 2024 Vancouver, güvenlik araştırmacılarının yarışmanın iki günü boyunca gösterilen 29 sıfır gün açıkları ve açık zincirleri için 1.132.500 $ kazanmasının ardından 22 Mart'ta sona erdi.
Manfred Paul, Apple Safari, Google Chrome ve Microsoft Edge web tarayıcılarını da hackledikten sonra bu yılki etkinliği 25 Master of Pwn puanı ve 202.500 $ nakit ödülle kazandı.
İlk gün, PAC bypass'ı ve tamsayı yetersiz akış hatası sıfır gün kombinasyonu aracılığıyla Safari'de uzaktan kod yürütme (RCE) elde etti. Ayrıca, Chrome ve Edge'i çökertmek için Giriş zayıflığında Belirtilen Miktarın Uygunsuz Doğrulamasını hedefleyen çift dokunuşlu bir RCE istismarının tanıtımını yaptı.
ZDI, son üç Pwn2Own hackleme yarışmasında (Toronto, Tokyo Automotive ve Vancouver) toplam 3.494.750 $ ve iki Tesla Model 3 arabası ödüllendirdi.