用了不到8秒就入侵了主流的火狐浏览器

整理 | 章雨铭       责编 | 屠敏

出品 | CSDN&＃xff08;ID&＃xff1a;CSDNnews&＃xff09;

很多人觉得电视剧里黑客在数秒内破解密码、侵入系统虽然很厉害&＃xff0c;但是真实性不高&＃xff0c;看起来就像是随便敲了几下键盘。所谓艺术来源于生活&＃xff0c;瞬间入侵并非在现实中不存在。最近&＃xff0c;在一次黑客大赛上&＃xff0c;一名黑客仅用了不到8秒的时间就入侵了主流的浏览器之一——火狐。

1

来者何人

Pwn2Own是全世界最著名、奖金最丰厚黑客大赛&＃xff0c;由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI&＃xff08;Zero Day Initiative&＃xff09;主办。参赛者需要从一些广泛使用的软件和设备中找出未发现的漏洞。而这次8秒找出火狐漏洞的也是这次比赛的参赛者——Manfred Paul。

5月18日&＃xff0c;Manfred Paul在比赛中利用了火狐浏览器中两个关键的漏洞实现了闪电般的攻击&＃xff0c;获得了10万美元的奖励&＃xff0c;另外他还找到了苹果的Safari浏览器中的Bug&＃xff0c;又赢得了5万美金&＃xff0c;在本次比赛中获得的奖金位居第四。

&＃xff08;Manfred Paul成功地找到了火狐的两个Bug&＃xff09;

2

哪两个关键Bug&＃xff1f;

这次比赛中参赛者成功找出的所有漏洞都会立即传递给相应的公司。这次Manfred Paul找出的两个漏洞都被评为具有严重影响&＃xff1a;

• top-level await实现中的原型污染&＃xff1a;攻击者在破坏Javascript中的Array对象时&＃xff0c;可以在privileged环境中执行代码。

• Javascript对象索引中使用不可信的输出&＃xff0c;导致原型污染&＃xff1a;这可能允许攻击者向父进程发送一条信息&＃xff0c;该信息能用于对Javascript对象进行双重索引。

3

对火狐用户的影响

虽然这两个漏洞是关键漏洞&＃xff0c;影响评级也不低&＃xff0c;但是对于用户来说影响不大。截至目前&＃xff0c;Mozilla基金会已经发布了火狐的紧急更新&＃xff0c;修补了这些Bug&＃xff0c;而且火狐浏览器会在默认情况下自动更新&＃xff0c;所以大多数用户已经在使用修复后的版本了。以下是更修复过的最新版本&＃xff1a;

不过在这次大赛中&＃xff0c;亮点远不止火狐一个。微软、Ubuntu、苹果、甲骨文和特斯拉等产品的Bug都被黑客们发现了。其中Ubuntu被三个队伍拿下&＃xff1a;Sea Security的Orca团队、美国西北大学TUTELARY团队以及STAR实验室安全研究员Billy Jheng Bing-Jhong。

&＃xff08;Sea Security的Orca团队发现Ubuntu桌面的两个漏洞&＃xff1a;OOBW和Use-After-Free&＃xff09;

&＃xff08;美国西北大学TUTELARY团队也成功找出了一个针对Ubuntu桌面进行提权的Use After Free漏洞&＃xff09;

除了Ubuntu&＃xff0c;特斯拉和微软的产品也是备受黑客的“青睐”&＃xff0c;Synacktiv的David BERARD和VincentDEHORS在Telsa Model 3信息娱乐系统中发现的2个独特漏洞&＃xff08;Double-Free和OOBW&＃xff09;&＃xff0c;而微软的Teams 和 Windows 11也被挖出了多个严重的新漏洞。除此之外&＃xff0c;Safari和Virtual Box没能幸免。

&＃xff08;Synacktiv的David BERARD和VincentDEHORS找到特斯拉的两个独特Bug&＃xff09;

这一次的比赛是一个双赢的结果&＃xff0c;不仅参赛者能够获得奖金&＃xff0c;厂商还有90天的时间来修复这些漏洞&＃xff0c;完善自己的产品。

参考资料&＃xff1a;

https://www.forbes.com/sites/daveywinder/2022/05/22/firefox-browser-hacked-in-8-seconds-using-2-critical-security-flaws/

https://twitter.com/_manfp

https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/

热门推荐&＃xff1a;
最新华为内部前端开发手册&＃xff0c;开放下载&＃xff01;无意中发现了一位清华妹子的资料库&＃xff01;这可能是资源的天花板&＃xff0c;限时免费下载 &＃xff01;知乎/CSDN/今日头条/&＃xff1a;&＃64;程序IT圈其他公众号号&＃xff1a;科技曼、科技禅个人网站 &＃xff1a;https://www.cxyquan.com/
微信公众号官方矩阵点分享点点赞点在看