Mozilla corrige dos errores de día cero de Firefox explotados en Pwn2Own

Iniciado por AXCESS, Marzo 24, 2024, 02:11:30 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 24, 2024, 02:11:30 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mozilla ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades de día cero en el navegador web Firefox explotadas durante la competencia de piratería Pwn2Own Vancouver 2024.

Manfred Paul (@_manfp) ganó un premio de $100,000 y 10 puntos Master of Pwn después de explotar una falla de escritura fuera de límites (OOB) (CVE-2024-29943) para obtener la ejecución remota de código y escapar del sandbox de Mozilla Firefox usando una debilidad funcional (CVE-2024-29944) expuesta.

Mozilla dice que la primera vulnerabilidad puede permitir a los atacantes acceder a un objeto JavaScript fuera de los límites explotando la eliminación de verificación de límites basada en rangos en sistemas vulnerables.

"Un atacante pudo realizar una lectura o escritura fuera de límites en un objeto JavaScript engañando la eliminación de verificación de límites basada en rangos", explicó Mozilla.

El segundo se describe como una ejecución privilegiada de JavaScript a través de controladores de eventos que podría permitir a un atacante ejecutar código arbitrario en el proceso principal del navegador web Firefox Desktop.

Mozilla solucionó los fallos de seguridad en Firefox 124.0.1 y Firefox ESR 115.9.1 para bloquear posibles ataques de ejecución remota de código dirigidos a navegadores web sin parches en dispositivos de escritorio.

Las dos vulnerabilidades de seguridad fueron reparadas sólo un día después de que Manfred Paul las explotara y las informara en el concurso de piratería Pwn2Own.

Sin embargo, después de la competencia Pwn2Own, los proveedores generalmente se toman su tiempo para lanzar parches, ya que tienen 90 días para impulsar las correcciones hasta que la Iniciativa Día Cero de Trend Micro los divulgue públicamente.

Pwn2Own 2024 Vancouver finalizó el 22 de marzo después de que los investigadores de seguridad ganaran 1.132.500 dólares por 29 exploits de día cero y cadenas de exploits demostradas durante los dos días del concurso.

Manfred Paul ganó la edición de este año con 25 puntos Master of Pwn y 202.500 dólares en premios en efectivo después de piratear también los navegadores web Apple Safari, Google Chrome y Microsoft Edge.

El primer día, obtuvo la ejecución remota de código (RCE) en Safari mediante una derivación de PAC y una combinación de día cero con error de subdesbordamiento de enteros. También hizo una demostración de un exploit RCE de doble toque dirigido a una validación inadecuada de una cantidad especificada en una debilidad de entrada para derribar a los navegadores Chrome y Edge.

ZDI ha otorgado un total de 3.494.750 dólares y dos coches Tesla Model 3 durante los últimos tres concursos de hacking Pwn2Own (Toronto, Tokyo Automotive y Vancouver).

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario