Mozilla a publié des mises à jour de sécurité pour corriger deux vulnérabilités zero-day dans le navigateur Web Firefox exploitées lors du concours de piratage Pwn2Own Vancouver 2024.
Manfred Paul (@_manfp) a remporté une récompense de 100 000 $et 10 points Master of Pwn après avoir exploité une faille d’écriture hors limites (OOB) (CVE-2024-29944) pour obtenir l’exécution de code à distance et échapper au bac à sable de Mozilla Firefox en utilisant une faiblesse de fonction dangereuse exposée (CVE-2024-29943).
Mozilla décrit la première vulnérabilité comme une exécution JavaScript privilégiée via des gestionnaires d’événements qui pourraient permettre à un attaquant d’exécuter du code arbitraire dans le processus parent du navigateur Web de bureau Firefox.
Le second peut permettre aux attaquants d’accéder à un objet JavaScript hors limites en exploitant l’élimination des vérifications des limites basées sur la plage sur les systèmes vulnérables.
« Un attaquant a pu effectuer une lecture ou une écriture hors limites sur un objet JavaScript en trompant l’élimination de la vérification des limites basée sur la plage », a expliqué Mozilla.
Mozilla a corrigé les failles de sécurité dans Firefox 124.0.1 et Firefox ESR 115.9.1 pour bloquer les attaques potentielles d’exécution de code à distance ciblant les navigateurs Web non corrigés sur les appareils de bureau.
Les deux failles de sécurité ont été corrigées un jour seulement après que Manfred Paul les ait exploitées et signalées lors du concours de piratage Pwn2Own.
Cependant, après le concours Pwn2Own, les fournisseurs prennent généralement leur temps pour publier les correctifs, car ils disposent de 90 jours pour les appliquer jusqu’à ce que l’initiative Zero Day de Trend Micro les divulgue publiquement.
Pwn2Own 2024 Vancouver s’est terminé le 22 mars après que des chercheurs en sécurité ont gagné 1 132 500 $pour 29 exploits zero-day et chaînes d’exploits démontrés au cours des deux jours du concours.
Manfred Paul a remporté l’édition de cette année avec 25 points Master of Pwn et 202 500 prizes en prix en espèces après avoir également piraté les navigateurs Web Apple Safari, Google Chrome et Microsoft Edge.
Le premier jour, il a obtenu l’exécution de code à distance (RCE) dans Safari via un contournement PAC et un combo zéro-jour de bogue de sous-dépassement d’entier. Il a également présenté une démonstration d’un exploit RCE à double pression ciblant une Validation incorrecte de la Quantité spécifiée dans la faiblesse d’entrée pour supprimer Chrome et Edge.
ZDI a attribué un total de 3 494 750 and et deux voitures Tesla Model 3 lors des trois derniers concours de piratage Pwn2Own (Toronto, Tokyo Automotive et Vancouver).