На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
Как сообщает opennet.ru Завершился второй заключительный день соревнования Pwn2Own 2018, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge и Safari (две разные атаки), которые привели к успешному выполнению кода атакующего в системе. Также частично проведена атака на VirtualBox, которая не была доведена до конца. Суммарный размер выплат составил 267 тысяч долларов (общий призовой фонд составляет 2 млн долларов). Номинации за взлом Chrome, nginx, Apache httpd, OpenSSL, SMB-подсистемы Windows, vMware Workstation, Hyper-V Client, Adobe Reader, MS Office 365 ProPlus и MS Outlook остались невостребованными.
Разработчики Mozilla уже сформировали обновления Firefox 59.0.1 и 52.7.2, в которых устранены продемонстрированные в ходе соревнования уязвимости (CVE-2018-5146, CVE-2018-5147). Проблемы затрагивают входящие в базовую поставку библиотеки libvorbis и libtremor (замена libvorbis для ARM и Android) и позволяют организовать запись данных за границу буфера при обработке специально оформленного звукового контента в формате Vorbis.
