#kirizaki_news
Меньше чем за пару дней подкатили первые исправления для 0-day, обнаруженных в рамках хакерского конкурса Pwn2Own Vancouver 2024.
Mozilla исправила две ошибки в Firefox, за демонстрацию которых Манфред Пол получил награду в размере 100 000 долларов США и 10 баллов Master of Pwn.
Первая связана с возможностью записи за пределами границ (OOB) (CVE-2024-29943) для удаленного выполнения кода, а вторая реализует выход из песочницы Mozilla Firefox с помощью ненадежной функции (CVE-2024-29944).
Mozilla заявляет, что первая уязвимость может позволить злоумышленникам получить доступ к объекту JavaScript за пределами границ, используя устранение проверки границ на основе диапазона в уязвимых системах.
Злоумышленник смог выполнить чтение или запись объекта JavaScript за пределами допустимого диапазона, обманув устранение проверки границ на основе диапазона.
Второй недостаток описывается как привилегированное выполнение JavaScript через обработчики событий, которые могут позволить злоумышленнику выполнить произвольный код в родительском процессе веб-браузера Firefox Desktop.
Mozilla исправила недостатки безопасности в Firefox 124.0.1 и Firefox ESR 115.9.1, заблокировав потенциальные атаки с удаленным выполнением кода, нацеленные на непропатченные браузеры.
Оперативность, безусловно, радует, особенно с учетом того, что после конкурса Pwn2Own поставщики обычно не торопятся с выпуском исправлений, рассчитывая на отсрочку на 90 дней до раскрытия Zero Day Initiative Trend Micro их публично.
Помимо Mozilla Firefox исследователь также успешно расчехлил Apple Safari, Google Chrome и Microsoft Edge, поставщики которых теперь также анализируют суть проблем и готовят свои патчи.
В целом за Pwn2Own Vancouver 2024 числится 29 0-day, за которые исследователи получили 1 132 500 долларов и Tesla Model 3.
Источник: SecAtor
Меньше чем за пару дней подкатили первые исправления для 0-day, обнаруженных в рамках хакерского конкурса Pwn2Own Vancouver 2024.
Mozilla исправила две ошибки в Firefox, за демонстрацию которых Манфред Пол получил награду в размере 100 000 долларов США и 10 баллов Master of Pwn.
Первая связана с возможностью записи за пределами границ (OOB) (CVE-2024-29943) для удаленного выполнения кода, а вторая реализует выход из песочницы Mozilla Firefox с помощью ненадежной функции (CVE-2024-29944).
Mozilla заявляет, что первая уязвимость может позволить злоумышленникам получить доступ к объекту JavaScript за пределами границ, используя устранение проверки границ на основе диапазона в уязвимых системах.
Злоумышленник смог выполнить чтение или запись объекта JavaScript за пределами допустимого диапазона, обманув устранение проверки границ на основе диапазона.
Второй недостаток описывается как привилегированное выполнение JavaScript через обработчики событий, которые могут позволить злоумышленнику выполнить произвольный код в родительском процессе веб-браузера Firefox Desktop.
Mozilla исправила недостатки безопасности в Firefox 124.0.1 и Firefox ESR 115.9.1, заблокировав потенциальные атаки с удаленным выполнением кода, нацеленные на непропатченные браузеры.
Оперативность, безусловно, радует, особенно с учетом того, что после конкурса Pwn2Own поставщики обычно не торопятся с выпуском исправлений, рассчитывая на отсрочку на 90 дней до раскрытия Zero Day Initiative Trend Micro их публично.
Помимо Mozilla Firefox исследователь также успешно расчехлил Apple Safari, Google Chrome и Microsoft Edge, поставщики которых теперь также анализируют суть проблем и готовят свои патчи.
В целом за Pwn2Own Vancouver 2024 числится 29 0-day, за которые исследователи получили 1 132 500 долларов и Tesla Model 3.
Источник: SecAtor