Mozilla исправила уязвимости Firefox, использованные на Pwn2Own Vancouver 2024.

Организация Mozilla успешно устранила две уязвимости "нулевого дня" веб-браузера Firefox, которые были использованы на соревнованиях по хакерству Pwn2Own Vancouver 2024.

Исследователь Манфред Пауль (@_manfp), победитель соревнований, использовал две уязвимости, обозначенные как CVE-2024-29944 и CVE-2024-29943.

Во второй день Пауль продемонстрировал возможность обхода песочницы Mozilla Firefox, используя метод OOB Write для выполнения удаленного кода (RCE) и ошибку в опасной функции.

За этот хак он получил $100 000 и 10 баллов Master of Pwn.

Ниже приводится описание обеих проблем, согласно докладу: уязвимость CVE-2024-29944 затрагивает только рабочий стол Firefox и не влияет на мобильные версии Firefox, а уязвимость CVE-2024-29943 позволяет злоумышленнику выполнять чтение или запись за пределами массива JavaScript-объекта.

Mozilla выпустила обновление Firefox 124.0.1 и Firefox ESR 115.9.1 для устранения обеих проблем.

Соревнования Pwn2Own Vancouver 2024 прошли на этой неделе, инициатива Zero Day Initiative (ZDI) компании Trend Micro объявила, что участники заработали $1 132 500 за демонстрацию 29 уникальных уязвимостей "нулевого дня".

В первый день команда Synacktiv успешно продемонстрировала эксплойты против автомобиля Tesla.

Исследователь Манфред Пауль (@_manfp) стал победителем Master of Pwn, заработав $202 500 и 25 баллов.