龙空技术网

“入侵火狐只花了8秒”

CSDN 1155

前言:

眼前看官们对“除了ubuntu”都比较珍视,兄弟们都需要学习一些“除了ubuntu”的相关内容。那么小编同时在网络上搜集了一些关于“除了ubuntu””的相关资讯,希望朋友们能喜欢,我们快快来了解一下吧!

整理 | 章雨铭 责编 | 屠敏

出品 | CSDN(ID:CSDNnews)

很多人觉得电视剧里黑客数秒内破解密码侵入系统虽然很厉害,但是真实性不高,看起来就像是随便敲了几下键盘。所谓艺术来源于生活,瞬间入侵并非在现实中不存在。最近,在一次黑客大赛上,名黑客仅用了不到8秒的时间就入侵了主流的浏览器之一——火狐。

来者何人

Pwn2Own是全世界最著名、奖金最丰厚黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办参赛者需要从一些广泛使用的软件和设备中找出未发现的漏洞。而这次8秒找出火狐漏洞的也是这次比赛的参赛者—Manfred Paul。

5月18日,Manfred Paul在比赛中利用了火狐浏览器中两个关键的漏洞实现了闪电般的攻击,获得了10万美元的奖励,另外他还找到了苹果的Safari浏览器中的Bug,又赢得了5万美金,在本次比赛中获得的奖金位居第四。

(Manfred Paul成功找到了火狐的两个Bug)

哪两个关键Bug?

这次比赛中参赛者成功找出的所有漏洞都会立即传递给相应的公司。这次Manfred Paul找出的两个漏洞都被评为具有严重影响:

top-level await实现中的原型污染:攻击者在破坏JavaScript中的Array对象时,可以在privileged环境中执行代码。

JavaScript对象索引中使用不可信的输出,导致原型污染:这可能允许攻击者向父进程发送一条信息,该信息能用于对JavaScript对象进行双重索引。

对火狐用户的影响

虽然这两个漏洞是关键漏洞,影响评级也不低,但是对于用户来说影响不大。截至目前,Mozilla基金会已经发布了火狐的紧急更新,修补了这些Bug,而且火狐浏览器会在默认情况下自动更新,所以大多数用户已经在使用修复后的版本了。以下是更修复过的最新版本:

不过在这次大赛中,亮点远不止火狐一个。微软、Ubuntu、苹果、甲骨文和特斯拉等产品的Bug都被黑客们发现了。其中Ubuntu被三个队伍拿下:Sea Security的Orca团队、美国西北大学TUTELARY团队以及STAR实验室安全研究员Billy Jheng Bing-Jhong。

(Sea Security的Orca团队发现Ubuntu桌面的两个漏洞:OOBW和Use-After-Free)

(美国西北大学TUTELARY团队也成功找出了一个针对Ubuntu桌面进行提权的Use After Free漏洞)

除了Ubuntu,特斯拉和微软的产品也是备受黑客的“青睐”,Synacktiv的David BERARD和VincentDEHORS在Telsa Model 3信息娱乐系统中发现的2个独特漏洞(Double-Free和OOBW),而微软的Teams 和 Windows 11也被挖出了多个严重的新漏洞。除此之外,Safari和Virtual Box没能幸免。

(Synacktiv的David BERARD和VincentDEHORS找到特斯拉的两个独特Bug)

这一次的比赛是一个双赢的结果,不仅参赛者能够获得奖金,厂商还有90天的时间来修复这些漏洞,完善自己的产品。

参考资料:

成就一亿技术人

标签: #除了ubuntu #ubuntu火狐浏览器打不开