软件开发,软件定制,ERP系统定制,东莞软件开发,东莞软件公司,东莞软件开发公司,生产管理系统,成本核算软件,ERP软件开发,上位机软件开发,东莞APP开发定制,APP软件开发,工厂软件开发,小程序开发定制,商城开发,网站建设,ERP系统,生产管理软件开发,长沙软件开发,岳阳软件开发
软件开发,软件定制,ERP系统定制,东莞软件开发,东莞软件公司,东莞软件开发公司,生产管理系统,成本核算软件,ERP软件开发,上位机软件开发,东莞APP开发定制,APP软件开发,工厂软件开发,小程序开发定制,商城开发,网站建设,ERP系统,生产管理软件开发,长沙软件开发,岳阳软件开发

官方热线:0769-22501808

7x24热线:+86 13310811808

© 2012-2015 宏翔科技 版权所有

入侵火狐只花了8秒

出品 | CSDN(ID:CSDNnews)行业新闻2022/5/24 11:38:26

许多匹相信,虽然剧集中的骇客在几秒之内破译加密并侵略装置,但可信度并不低。看上去他们只是敲了几下按键。”的美术源自生存。即时侵略在真实之中并不适用。最近,在一场骇客比赛之中,一名骇客在不到8秒的时间段之内侵略流行客户端之一Firefox that’s coming pwn2own是全球之上最知名的骇客比赛,奖品最余。它由zdi(Zero Day Initiative)托管地,zdi是白宫的因特网安全性服务提供商,也是IBM辖之下TippingPoint的计划小组。来宾需在一些普遍采用的操作系统和装置之中找到未侦测到的缺陷。本次赛事的来宾曼弗雷德·保罗在8秒之内找到了Mozilla的缺陷 5月18日,曼弗雷德·保罗透过Mozilla的两个关键性缺陷构建了雷电反击,并取得了10万美元的奖赏。此外,他还找到了微软Firefox客户端中的一个缺陷,并夺得了另外5万美元的奖品,在本次赛事之中名列第四。
在这里插入图片描述
在这里插入图片描述

(Manfred Paul成功地找到了火狐的两个Bug)


在这里插入图片描述

哪两个关键Bug?

这次比赛中参赛者成功找出的所有漏洞都会立即传递给相应的公司。这次Manfred Paul找出的两个漏洞都被评为具有严重影响:

  • top-level await实现中的原型污染:攻击者在破坏JavaScript中的Array对象时,可以在privileged环境中执行代码。
    在这里插入图片描述

  • JavaScript对象索引中使用不可信的输出,导致原型污染:这可能允许攻击者向父进程发送一条信息,该信息能用于对JavaScript对象进行双重索引。
    在这里插入图片描述

火狐用户的影响

虽然这两个漏洞是关键漏洞,影响评级也不低,但是对于用户来说影响不大。截至目前,Mozilla基金会已经发布了火狐的紧急更新,修补了这些Bug,而且火狐浏览器会在默认情况下自动更新,所以大多数用户已经在使用修复后的版本了。以下是更修复过的最新版本:
在这里插入图片描述
不过在这次大赛中,亮点远不止火狐一个。微软、Ubuntu、苹果、甲骨文和特斯拉等产品的Bug都被黑客们发现了。其中Ubuntu被三个队伍拿下:Sea Security的Orca团队、美国西北大学TUTELARY团队以及STAR实验室安全研究员Billy Jheng Bing-Jhong。
在这里插入图片描述

(Sea Security的Orca团队发现Ubuntu桌面的两个漏洞:OOBW和Use-After-Free)
在这里插入图片描述
(美国西北大学TUTELARY团队也成功找出了一个针对Ubuntu桌面进行提权的Use After Free漏洞)


除了Ubuntu,特斯拉和微软的产品也是备受黑客的“青睐”,Synacktiv的David BERARD和VincentDEHORS在Telsa Model 3信息娱乐系统中发现的2个独特漏洞(Double-Free和OOBW),而微软的Teams 和 Windows 11也被挖出了多个严重的新漏洞。除此之外,Safari和Virtual Box没能幸免。
在这里插入图片描述

(Synacktiv的David BERARD和VincentDEHORS找到特斯拉的两个独特Bug)


这一次的比赛是一个双赢的结果,不仅参赛者能够获得奖金,厂商还有90天的时间来修复这些漏洞,完善自己的产品。

参考资料:

https://www.forbes.com/sites/daveywinder/2022/05/22/firefox-browser-hacked-in-8-seconds-using-2-critical-security-flaws/

https://twitter.com/_manfp

https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/