Mozilla corrige dois bugs de zero-day no Firefox explorados no Pwn2Own
25 de Março de 2024

A Mozilla lançou atualizações de segurança para corrigir duas vulnerabilidades de zero-day no navegador web Firefox exploradas durante a competição de hacking Pwn2Own Vancouver 2024.

Manfred Paul (@_manfp) ganhou uma recompensa de US $ 100.000 e 10 pontos Master of Pwn após explorar uma falha de gravação fora dos limites (OOB) ( CVE-2024-29944 ) para obter execução de código remoto e escapar da sandbox do Mozilla Firefox usando uma fraqueza de função perigosa exposta ( CVE-2024-29943 ).

A Mozilla descreve a primeira vulnerabilidade como uma execução JavaScript privilegiada via manipuladores de eventos que poderia permitir a um invasor executar código arbitrário no processo pai do navegador web Firefox Desktop.

O segundo pode permitir que invasores acessem um objeto JavaScript fora dos limites explorando a eliminação de verificação de limites baseada em faixa em sistemas vulneráveis.

"Um invasor conseguiu realizar uma leitura ou gravação fora dos limites em um objeto JavaScript enganando a eliminação da verificação de limites baseada em faixa", explicou a Mozilla.

A Mozilla corrigiu as falhas de segurança no Firefox 124.0.1 e no Firefox ESR 115.9.1 para bloquear possíveis ataques de execução de código remoto visando navegadores web não corrigidos em dispositivos desktop.

As duas vulnerabilidades de segurança foram corrigidas apenas um dia após Manfred Paul explorá-las e relatá-las no concurso de hacking Pwn2Own.

No entanto, após a competição Pwn2Own, os fornecedores geralmente levam algum tempo para liberar patches já que eles têm 90 dias para mostrar as correções até que a zero-day Initiative da Trend Micro as divulgue publicamente.

O Pwn2Own 2024 Vancouver terminou em 22 de março, após pesquisadores de segurança ganharem US$ 1.132.500 por 29 exploits de zero-day e cadeias de exploração demonstradas ao longo dos dois dias do concurso.

Manfred Paul venceu a edição deste ano com 25 pontos Master of Pwn e US$ 202.500 em prêmios em dinheiro, após também hackear os navegadores web Safari da Apple, Chrome do Google e Edge da Microsoft.

No primeiro dia, ele conseguiu executar código remoto (RCE) no Safari via uma combinação de zero-day de bypass PAC e falha de underflow de inteiro.

Ele também apresentou um exploit RCE de toque duplo visando uma fraqueza de validação inadequada de quantidade especificada em entrada para derrubar o Chrome e o Edge.

A ZDI concedeu um total de US$ 3.494.750 e dois carros Tesla Model 3 durante os últimos três concursos de hacking Pwn2Own (Toronto, Tokyo Automotive e Vancouver).

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...