Mozilla 修补了 Pwn2Own 中利用的 Firefox 零日漏洞
Mozilla 发布了 Firefox 浏览器更新,以修复上周 Pwn2Own 温哥华 2024 黑客大赛中被利用的两个零日漏洞。 安全研究人员曼弗雷德·保罗发现的这些问题被串联在一起,以逃避浏览器的沙箱并在系统上执行代码。 第一个漏洞编号为 CVE-2024-29943,被描述为越界访问缺陷,可导致绕过范围分析。 “攻击者能够通过欺骗基于范围的边界检查消除来对 JavaScript 对象执行越界读取或写入,”Mozilla 在其文章中解释道。 咨询。 第二个错误 CVE-2024-29944 是事件处理程序中的特权 JavaScript 执行问题,导致沙箱逃逸。 Mozilla 表示:“攻击者能够将事件处理程序注入特权对象,从而允许在父进程中执行任意 JavaScript。” Mozilla 指出,CVE-2024-29944 仅影响桌面版 Firefox,无法针对移动应用程序进行利用。 Mozilla 表示这两个漏洞都是“严重程度”的错误,但没有提供其中任何一个漏洞的 CVSS 评分。 广告。 滚动以继续阅读。 周五,Mozilla 发布了包含这两个问题补丁的 Firefox 124.0.1,以及包含 CVE-2024-29944 修复程序的 Firefox ESR 115.9.1。 这两个漏洞均于前一天在 Pwn2Own 上被利用并披露。 趋势科技的零日计划 (ZDI) 周四表示:“曼弗雷德·保罗 (Manfred Paul) 使用 OOB Write 进行 […]
Tesla Hack 在 Pwn2Own 2024 上荣获 200,000 美元奖励
2024 年 Pwn2Own 温哥华黑客大赛第一天,参赛者成功展示了针对 Tesla 汽车、Linux 和 Windows 操作系统以及各种广泛使用的软件的漏洞利用,获得了超过 700,000 美元的收入。 Pwn2Own 的组织者、趋势科技的零日计划 (ZDI) 宣布,代表网络安全公司 Synacktiv 的团队因利用 CAN 总线控制的特斯拉电子控制单元 (ECU) 的整数溢出漏洞而获得了 20 万美元的奖金。 除了金钱之外,研究人员还赢得了一辆新的特斯拉 Model 3。 Synacktiv 团队在几场 Pwn2Own 比赛中展示了 Tesla 的漏洞,包括最近的比赛 汽车主题活动, 在 Pwn2Own 温哥华 2023 年, 和 Pwn2Own 温哥华 2022 年。 这是他们第二次为自己赢得汽车。 这是 2024 年 Pwn2Own 温哥华站上安排的唯一一次特斯拉黑客攻击尝试。 代表 Theori 的团队获得了另一项重大奖励。 他们因涉及 VMware Workstation […]