- 19,443
- 40
- 8 Ноя 2022
CVE на сцене, деньги в кармане, уязвимость в системе — как прошёл Pwn2Own для Firefox.
Mozilla выпустила экстренные обновления безопасности для Firefox — всего через несколько часов после завершения хакерского соревнования Для просмотра ссылки Войдиили Зарегистрируйся . Причиной стали две критические уязвимости нулевого дня, обнаруженные в браузере и публично продемонстрированные прямо на мероприятии.
Первая Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.5) затрагивает JavaScript-движок Firefox. Речь идёт о возможности чтения и записи данных за пределами допустимых границ при работе с объектами Promise. Брешь нашли специалисты из Palo Alto Networks. За успешную демонстрацию они получили $50 000.
Вторая уязвимость — Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 8.8) — также связана с JavaScript, но касается манипуляций с индексами массивов. Исследователь Манфред Пауль показал, как можно путём неправильной обработки индексов массива добиться чтения и записи в недопустимые области памяти. За это выступление он также получил $50 000.
Обе уязвимости признаны критическими, поскольку позволяют потенциальным злоумышленникам вмешиваться в память процесса. Однако, по Для просмотра ссылки Войдиили Зарегистрируйся Mozilla, ни один из исследователей не смог выйти за пределы песочницы браузера — это обычно следующий шаг для построения полноценной цепочки атаки. Разработчики связывают это с недавними архитектурными изменениями, серьёзно усилившими защиту песочницы Firefox. По их словам, именно эти улучшения нейтрализовали целый класс атак, которые ещё год назад проходили успешно.
Хотя пока нет свидетельств того, что уязвимости уже используются в реальных атаках, их публичное раскрытие на соревновании может стать катализатором попыток эксплуатации в ближайшее время. Именно поэтому Mozilla оперативно собрала международную команду, которая за считаные часы подготовила, протестировала и выпустила обновления для всех актуальных версий браузера — как на настольных системах, так и на Android.
Обновления уже доступны для Firefox Для просмотра ссылки Войдиили Зарегистрируйся , а также для версий с длительной поддержкой — Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Пользователям настоятельно рекомендуется установить их как можно скорее.
Соревнование Pwn2Own Berlin 2025 завершилось 17 мая. Общая сумма призов превысила миллион долларов, а титул «Master of Pwn» получила команда STAR Labs SG.
Mozilla выпустила экстренные обновления безопасности для Firefox — всего через несколько часов после завершения хакерского соревнования Для просмотра ссылки Войди
Первая Для просмотра ссылки Войди
Вторая уязвимость — Для просмотра ссылки Войди
Обе уязвимости признаны критическими, поскольку позволяют потенциальным злоумышленникам вмешиваться в память процесса. Однако, по Для просмотра ссылки Войди
Хотя пока нет свидетельств того, что уязвимости уже используются в реальных атаках, их публичное раскрытие на соревновании может стать катализатором попыток эксплуатации в ближайшее время. Именно поэтому Mozilla оперативно собрала международную команду, которая за считаные часы подготовила, протестировала и выпустила обновления для всех актуальных версий браузера — как на настольных системах, так и на Android.
Обновления уже доступны для Firefox Для просмотра ссылки Войди
Соревнование Pwn2Own Berlin 2025 завершилось 17 мая. Общая сумма призов превысила миллион долларов, а титул «Master of Pwn» получила команда STAR Labs SG.
- Источник новости
- www.securitylab.ru
