Mozilla在最近的Pwn2Own Vancouver 2024黑客大赛中,出色地处理了Firefox网络浏览器中被利用的两个零日漏洞。研究人员Manfred Paul(@_manfp)赢得了比赛,并分别利用了这两个漏洞,它们被追踪为CVE-2024-29944和CVE-2024-29943。
在比赛的第二天,Paul通过使用RCE的OOB Write和暴露的危险函数漏洞,演示了对Mozilla Firefox的沙箱逃逸。他因此获得了10个Master of Pwn点数和10万美元的奖金。
以下是对这两个问题的描述,根据公告,漏洞CVE-2024-29944仅影响桌面版Firefox,不影响Firefox的移动版本:
CVE-2024-29943:攻击者能够通过愚弄基于范围的边界检查消除来对JavaScript对象执行越界读取或写入。CVE-2024-29944:攻击者能够将事件处理程序注入到特权对象中,从而允许在父进程中执行任意JavaScript代码。Mozilla发布了Firefox 124.0.1和Firefox ESR 115.9.1来解决这两个问题。
Pwn2Own Vancouver 2024黑客大赛于本周举行,趋势微观的零日倡议(ZDI)宣布参与者在Pwn2Own Vancouver 2024黑客大赛中展示了29个独特的零日漏洞,共赢得了113.25万美元。在第一天,Synacktiv团队成功展示了针对特斯拉汽车的漏洞利用。研究人员Manfred Paul(@_manfp)赢得了Master of Pwn,并赢得了20.25万美元和25点数。
原文始发于微信公众号(黑猫安全):Mozilla修复了在Pwn2Own Vancouver 2024中被利用的Firefox零日漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论