Mozilla, PWN2own Vancouver 2022 Hacking Yarışması sırasında kullanılan sıfır gün güvenlik açıklarını ele almak için birden fazla ürün için güvenlik güncellemeleri yayınladı.
İstismar edilirse, iki kritik kusur, saldırganların Firefox, Firefox ESR, Android için Firefox ve Thunderbird'in savunmasız sürümlerini çalıştıran mobil ve masaüstü cihazlarda JavaScript kodu yürütülmesine izin verebilir.
Sıfır günleri Firefox 100.0.2, Firefox ESR 91.9.1, Android 100.3 için Firefox ve Thunderbird 91.9.1'de sabitlendi.
Manfred Paul (@_manfp), prototip kirliliğini ve PWN2own'un ilk gününde uygunsuz girdi doğrulama hatalarını demo ettikten sonra 100.000 dolar ve 10 Master PWN puanı kazandı.
İlk güvenlik açığı, bir saldırganın ayrıcalıklı bir bağlamda JavaScript kodu yürütülmesini sağlamak için prototip kirliliği kullanarak JavaScript'teki bir dizi nesnesinin yöntemlerini bozmasına izin verebilen üst düzey bekleyen uygulamada (CVE-2022-1802 olarak izlenir) bir prototip kirliliğidir.
İkincisi (CVE-2022-1529), saldırganların prototip kirliliği enjeksiyon saldırılarında yanlış giriş validasyonunu endeksleyen Java nesnesini kötüye kullanmasına izin verir.
Mozilla, "Bir saldırgan, içeriğin bir JavaScript nesnesine çift indekslemek için kullanıldığı, prototip kirliliğine ve nihayetinde ayrıcalıklı ana süreçte yürütülen saldırgan kontrollü JavaScript'e yol açan bir mesaj gönderebilirdi."
Bu hızlıydı: https://t.co/xwh4g7emau
Siber güvenlik ve Altyapı Güvenlik Ajansı (CISA), tehdit aktörlerinin onları "etkilenen bir sistemin kontrolünü ele geçirmeleri" için sömürebileceği göz önüne alındığında, yöneticileri ve kullanıcıları Pazartesi günü bu güvenlik kusurlarını düzeltmeye teşvik etti.
Mozilla, Manfred Paul tarafından PWN2OWN Hacking yarışmasında sömürüldükten ve bildirildikten iki gün sonra bu güvenlik açıklarını düzenledi.
Bununla birlikte, satıcılar genellikle Pwn2own'dan sonra yamaları serbest bırakmak için acele etmezler, çünkü Trend Micro'nun Sıfır Günü girişimi onları açıklayana kadar güvenlik düzeltmelerini zorlamak için 90 gün geçirirler.
PWN2OWN 2022 Vancouver 20 Mayıs'ta sona erdi ve 17 yarışmacı sıfır gün istismarları için 1.155.000 dolar kazandı ve 21 denemeden sonra üç gün boyunca gösterilen istismar zincirleri.
Güvenlik araştırmacıları ayrıca, 2022 PWN2OWN Miami Yarışması sırasında 19 Nisan ile 21 Nisan tarihleri arasında demo edilen ICS ve SCADA ürünlerini hedefleyen 26 sıfır günlük istismar için 400.000 dolar kazandı.
Microsoft Teams, Windows 11, PWN2OWN'ın ilk gününde hacklendi
Windows 11, Pwn2own yarışmasının son gününde üç kez daha hacklendi
Google: Sıfır Günleri Kullanarak Predator Spyware Enfekte Android Cihazları
Windows 11 tekrar PWN2OWN'de hacklendi, Tesla Model 3 de düşüyor
Bilgisayar korsanları PWN2OWN'da demo edilen sıfır gün ICS istismarları için 400 bin dolar kazanıyor
Kaynak: Bleeping Computer