Η Mozilla έχει κυκλοφορήσει ενημερώσεις ασφαλείας για την αντιμετώπιση zero-days σε αρκετά προϊόντα της, που εκμεταλλεύτηκαν κατά τη διάρκεια του διαγωνισμού hacking Pwn2Own Vancouver 2022.
Δείτε επίσης: Η Mozilla προσθέτει υποστήριξη AV1 στον Firefox
Τα δύο κρίσιμα ελαττώματα μπορούν να επιτρέψουν εκτέλεση κώδικα JavaScript σε κινητές και επιτραπέζιους υπολογιστές, που εκτελούν ευάλωτες εκδόσεις του Firefox, του Firefox ESR, του Firefox για Android και του Thunderbird.
Τα zero-days έχουν διορθωθεί σε Firefox 100.0.2, Firefox ESR 91.9.1, Firefox για Android 100.3 και Thunderbird 91.9.1.
Ο Manfred Paul (@_manfp) κέρδισε 100.000 $ και 10 πόντους Master of Pwn και ακατάλληλα σφάλματα επικύρωσης εισαγωγής την πρώτη ημέρα του Pwn2Own.
Η πρώτη ευπάθεια που παρακολουθείται ως CVE-2022-1802, μπορεί να αφήσει έναν εισβολέα να καταστρέψει τις μεθόδους ενός αντικειμένου Array στο JavaScript, χρησιμοποιώντας prototype pollution για να επιτύχει την εκτέλεση κώδικα JavaScript σε προνομιακό περιβάλλον.
Δείτε ακόμα: Η Mozilla καταργεί τους default ρωσικούς search providers στον Firefox
Το δεύτερο, CVE-2022-1529, επιτρέπει στους εισβολείς να κάνουν κατάχρηση του ευρετηριασμού αντικειμένων Java με ακατάλληλη επικύρωση εισόδου σε επιθέσεις pollution injection.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) ενθάρρυνε επίσης τους διαχειριστές και τους χρήστες, να επιδιορθώσουν αυτά τα ελαττώματα ασφαλείας, δεδομένου ότι οι φορείς απειλών θα μπορούσαν να τα εκμεταλλευτούν για να «πάρουν τον έλεγχο ενός επηρεαζόμενου συστήματος».
Η Mozilla επιδιόρθωσε αυτά τα τρωτά σημεία δύο ημέρες αφότου εκμεταλλεύτηκαν και αναφέρθηκαν στον διαγωνισμό hacking Pwn2Own από τον Manfred Paul.
Ωστόσο, οι πωλητές συνήθως δεν βιάζονται να εκδώσουν ενημερώσεις κώδικα μετά το Pwn2Own, καθώς έχουν στη διάθεσή τους 90 ημέρες για να προωθήσουν διορθώσεις ασφαλείας έως ότου το Zero Day Initiative της Trend Micro τις αποκαλύψει δημόσια.
Δείτε επίσης: Η Mozilla συνεργάζεται με τη Disney για να φέρει promotional wallpapers στον Firefox 98 στο Android
Το Pwn2Own 2022 Vancouver έληξε στις 20 Μαΐου αφού 17 ανταγωνιστές κέρδισαν 1.155.000 $ για zero-day exploits και αλυσίδες exploit που παρουσιάστηκαν σε διάστημα τριών ημερών μετά από 21 προσπάθειες.
Οι ερευνητές ασφαλείας κέρδισαν επίσης 400.000 $ για 26 εκμεταλλεύσεις zero-day που στοχεύουν προϊόντα ICS και SCADA που παρουσιάστηκαν μεταξύ 19 και 21 Απριλίου κατά τη διάρκεια του διαγωνισμού Pwn2Own του Μαϊάμι 2022.
