- 270
- 172
- 6 Мар 2016
На прошлой неделе состоялось ежегодное состязание Pwn2Own, и мы уже рассказывали о некоторых взломах, которые удалось осуществить участникам. В этом году соревнование установило своеобразный рекорд: организаторы выплатили участникам 833 000 долларов, что значительно превосходит результаты прошлых лет (460 000 долларов в 2016 году и 557 000 долларов в 2015 году).
В числе прочего китайская команда Chaitin Security Research Lab обнаружила и успешно эксплуатировала уязвимость CVE-2017-5428 в браузере Firefox. Баг связан с переполнением целочисленного типа в createImageBitmap(), и команда использовала его наряду с повышением привилегий через uninitialized buffer в ядре Windows, чтобы получить системные привилегии в системе. Данная цепочка эксплоитов принесла команде $30 000.
В минувшую пятницу разработчики Mozilla представили релиз Firefox 52.0.1, в котором проблема была устранена. То есть разработчикам понадобилось менее суток на исправление бага, что подтвердили через Twitter сами представители Mozilla, в лице Асы Доцлера (Asa Dotzler) и Дэниеля Ведица (Daniel Veditz).
В числе прочего китайская команда Chaitin Security Research Lab обнаружила и успешно эксплуатировала уязвимость CVE-2017-5428 в браузере Firefox. Баг связан с переполнением целочисленного типа в createImageBitmap(), и команда использовала его наряду с повышением привилегий через uninitialized buffer в ядре Windows, чтобы получить системные привилегии в системе. Данная цепочка эксплоитов принесла команде $30 000.
В минувшую пятницу разработчики Mozilla представили релиз Firefox 52.0.1, в котором проблема была устранена. То есть разработчикам понадобилось менее суток на исправление бага, что подтвердили через Twitter сами представители Mozilla, в лице Асы Доцлера (Asa Dotzler) и Дэниеля Ведица (Daniel Veditz).
