Второй и третий день Pwn2Own 2019 — взломаны Tesla, Firefox, VMware

Второй и третий день Pwn2Own 2019 — взломаны Tesla, Firefox, VMware

Второй и третий день конференции Pwn2Own 2019, проходящей в Ванкувере, отметились взломом очередной порции крупных разработок. На этот раз не устояли браузеры Firefox, Edge, Safari, а также Tesla и VMware.

Во второй день Pwn2Own 2019 специалисты проанализировали уязвимости в интернет-обозревателях Microsoft Edge и Mozilla Firefox. К слову, в этом деле опять преуспела команда Fluoroacetate из двух экспертов — Амата Камы и Ричарда Зу.

Экспертам удалось найти JIT-баг в Mozilla Firefox, а также использовать эксплойт, позволяющий запись за пределами границ, который содержится в ядре Windows. Им удалось запустить код на уровне SYSTEM через браузер Firefox — это принесло специалистам $50 000.

Команда также атаковала Microsoft Edge и VMware, используя эскалацию привилегий на уровне ядра, в этом случае эксперты попытались выйти за пределы виртуальной среды. В результате исследователям удалось выполнить код в хосте, что принесло им $130 000.

Третий день Pwn2Own стал печальным для разработчиков Tesla, так как команде хакеров KunnaPwn удалось атаковать компонент VCSEC, принадлежащий автомобилю Tesla Model 3.

Но и тут отметились Амат Кама и Ричард Зу — им удалось использовать баг JIT, чтобы скомпрометировать инфотейнмент-систему Tesla Model 3. Эксперты заработали $35 000.

Напомним, что в первый день знаменитого соревнования хакеров Pwn2Own 2019, которое проходит в Ванкувере, Канада, специалистам удалось взломать браузер Safari от Apple, а также продукты для виртуализации — Oracle VirtualBox и VMware Workstation. В результате исследователи заработали $240 000.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Apple, Google, Mozilla решили бороться с перехватом трафика в Казахстане

Apple, Google и Mozilla решили бороться с практиками властей Казахстана, которые ранее планировали перехватывать HTTPS-трафик граждан страны. Для этого крупнейшие интернет-корпорации забанили корневой сертификат, выпущенный правительством Казахстана в прошлом месяце.

Начиная с сегодняшнего дня, Chrome, Firefox и Safari будут отображать ошибки, если любой HTTPS-трафик будет зашифрован с помощью казахского сертификата.

Таким образом корпорации хотят показать, что им небезразлична конфиденциальность пользователей из Казахстана. В дальнейшем интернет-гиганты будут продолжать бороться с практиками слежения и вторжения в частную жизнь.

Заявление Google по этому поводу модно почитать здесь, Mozilla — здесь.

Напомним, что в начале августа власти Казахстана спохватились, заявив, что использование вышеозначенных сертификатов для перехвата трафика было всего лишь тестированием, которое подошло к концу. Теперь граждане могут удалить их.

Еще раньше благодаря отчету Censored Planet стали известны подробности прослушки HTTPS-трафика в Казахстане. Ранее стало известно, что с 17 июля власти страны могут расшифровывать и просматривать содержимое защищённого трафика граждан.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru