Pwn2Own: Microsoft Edge browserens sikkerhed kompromitteret til en værdi af $ 105.000

Medlemmer af Qihoo 360s sikkerhedsteam har til dette års Pwn2Own-konkurrence udført en total kompromittering af Microsoft Edge's sikkerhed, da det lykkedes dem at bryde igennem Edge browserens VMware Workstation virtuelle maskine.

Hacket bestod af 3 dele: En heap overflow fejl i Edge, en type confusion fejl i Windowskernellen og en uinitialiseret buffer sårbarhed i VMware.

Resultatet blev at de helt kunne bryde igennem Edge's sikkerhed og overtage testmaskinen fuldt ud - og alt det krævede var at besøge et website.

Direktør Zheng Zheng fra Qihoo 360 udtaler:

We used a JavaScript engine bug within Microsoft Edge to achieve the code execution inside the Edge sandbox, and we used a Windows 10 kernel bug to escape from it and fully compromise the guest machine. Then we exploited a hardware simulation bug within VMware to escape from the guest operating system to the host one. All started from and only by a controlled a website.

Pwn2Own hackerkonkurrencen afholdes i Vancouver i British Columbia, og er organiseret af Trend Micros Zero Day Initiative.

Hacket har givet Qihoo 360-holdet en præmiesum på $ 105.000, hvilket er den største enkeltstående præmiesum der er udbetalt til dette års Pwn2Own.

Billede: Flavio Takemoto, FreeImages.com

Kategori: Software  

Tags: pwn2own   qihoo 360   microsoft edge   virtual machine   vmware