Mozilla remediază două vulnerabilități de tip zero-day exploatate activ
https://www.bleepingcomputer.com
Mozilla a lansat recent actualizări de securitate pentru mai multe produse pentru a remedia vulnerabilitățile de tip zero-day care au fost exploatate în timpul concursului de hacking Pwn2Own Vancouver 2022.
Dacă sunt exploatate, cele două vulnerabilități ar putea permite atacatorilor să obțină executarea de cod JavaScript pe dispozitive mobile și desktop care rulează versiuni vulnerabile ale Firefox, Firefox ESR, Firefox pentru Android și Thunderbird. Vulnerabilitățile au fost remediate în Firefox 100.0.2, Firefox ESR 91.9.1, Firefox pentru Android 100.3 și Thunderbird 91.9.1.
Manfred Paul (@_manfp) a câștigat 100.000 de dolari și 10 puncte Master of Pwn după ce a demonstrat existența celor două vulnerabilități încă din prima zi a concuruslui Pwn2Own.
Prima vulnerabilitate regăsită ca CVE-2022-1802 este de tip prototipe pollution în implementarea Top-Level Await și poate permite unui atacator să corupă metodele unui obiect Array în JavaScript folosind prototype pollution pentru a obține executarea de cod JavaScript într-un mediu privilegiat.
Cea de a doua vulnerabilitate regăsită ca CVE-2022-1529, permite atacatorilor să se profite de configurarea improprie a intrărilor în cadrul unor atacuri de tip prototype pollution injection.
Mozilla a remediat aceste vulnerabilități la două zile după ce au fost exploatate și raportate la concursul de hacking Pwn2Own de către Manfred Paul.
Cercetărorii de la Mozilla au declarat că este posibil ca un atacator să fi trimis un mesaj către procesul părinte, al cărui conținut a fost folosit pentru a face o dublă indexare într-un obiect JavaScript, ceea ce a dus la prototype pollution.
De asemenea, Agenția pentru Securitatea Cibernetică și Securitatea Infrastructurii (CISA) a recomandat administratorilor și utilizatorilor să remedieze aceste vulnerabilități de securitate, având în vedere că atacatorii le-ar putea exploata pentru a prelua controlul sitemelor afectate.
Pwn2Own 2022 Vancouver s-a încheiat pe 20 mai, după ce 17 concurenți au câștigat 1.155.000 de dolari pentru exploit-uri de tip zero-day au fost demonstrate pe parcursul a trei zile, după 21 de încercări.
De asemenea, cercetătorii în domeniul securității au câștigat 400.000 de dolari pentru 26 de exploatări de tip „zero-day” care au vizat produse ICS și SCADA, demonstrate între 19 și 21 aprilie în cadrul concursului Pwn2Own Miami 2022.
Sursa: https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/?&web_view=true
