“入侵火狐只花了8秒”

整理 | 章雨銘? ? ? ?責(zé)編 | 屠敏

出品 | CSDN（ID：CSDNnews）

很多人覺得電視劇里黑客在數(shù)秒內(nèi)破解密碼、侵入系統(tǒng)雖然很厲害，但是真實(shí)性不高，看起來就像是隨便敲了幾下鍵盤。所謂藝術(shù)來源于生活，瞬間入侵并非在現(xiàn)實(shí)中不存在。最近，在一次黑客大賽上，一名黑客僅用了不到8秒的時(shí)間就入侵了主流的瀏覽器之一——火狐。

來者何人

Pwn2Own是全世界最著名、獎(jiǎng)金最豐厚黑客大賽，由美國(guó)五角大樓網(wǎng)絡(luò)安全服務(wù)商、惠普旗下TippingPoint的項(xiàng)目組ZDI（Zero Day Initiative）主辦。參賽者需要從一些廣泛使用的軟件和設(shè)備中找出未發(fā)現(xiàn)的漏洞。而這次8秒找出火狐漏洞的也是這次比賽的參賽者——Manfred Paul。

5月18日，Manfred Paul在比賽中利用了火狐瀏覽器中兩個(gè)關(guān)鍵的漏洞實(shí)現(xiàn)了閃電般的攻擊，獲得了10萬美元的獎(jiǎng)勵(lì)，另外他還找到了蘋果的Safari瀏覽器中的Bug，又贏得了5萬美金，在本次比賽中獲得的獎(jiǎng)金位居第四。

?

（Manfred Paul成功地找到了火狐的兩個(gè)Bug）

哪兩個(gè)關(guān)鍵Bug？

這次比賽中參賽者成功找出的所有漏洞都會(huì)立即傳遞給相應(yīng)的公司。這次Manfred Paul找出的兩個(gè)漏洞都被評(píng)為具有嚴(yán)重影響：

• top-level await實(shí)現(xiàn)中的原型污染：攻擊者在破壞JavaScript中的Array對(duì)象時(shí)，可以在privileged環(huán)境中執(zhí)行代碼。

• JavaScript對(duì)象索引中使用不可信的輸出，導(dǎo)致原型污染：這可能允許攻擊者向父進(jìn)程發(fā)送一條信息，該信息能用于對(duì)JavaScript對(duì)象進(jìn)行雙重索引。

對(duì)火狐用戶的影響

雖然這兩個(gè)漏洞是關(guān)鍵漏洞，影響評(píng)級(jí)也不低，但是對(duì)于用戶來說影響不大。截至目前，Mozilla基金會(huì)已經(jīng)發(fā)布了火狐的緊急更新，修補(bǔ)了這些Bug，而且火狐瀏覽器會(huì)在默認(rèn)情況下自動(dòng)更新，所以大多數(shù)用戶已經(jīng)在使用修復(fù)后的版本了。以下是更修復(fù)過的最新版本：

不過在這次大賽中，亮點(diǎn)遠(yuǎn)不止火狐一個(gè)。微軟、Ubuntu、蘋果、甲骨文和特斯拉等產(chǎn)品的Bug都被黑客們發(fā)現(xiàn)了。其中Ubuntu被三個(gè)隊(duì)伍拿下：Sea Security的Orca團(tuán)隊(duì)、美國(guó)西北大學(xué)TUTELARY團(tuán)隊(duì)以及STAR實(shí)驗(yàn)室安全研究員Billy Jheng Bing-Jhong。

（Sea Security的Orca團(tuán)隊(duì)發(fā)現(xiàn)Ubuntu桌面的兩個(gè)漏洞：OOBW和Use-After-Free）

（美國(guó)西北大學(xué)TUTELARY團(tuán)隊(duì)也成功找出了一個(gè)針對(duì)Ubuntu桌面進(jìn)行提權(quán)的Use After Free漏洞）

除了Ubuntu，特斯拉和微軟的產(chǎn)品也是備受黑客的“青睞”，Synacktiv的David BERARD和VincentDEHORS在Telsa Model 3信息娛樂系統(tǒng)中發(fā)現(xiàn)的2個(gè)獨(dú)特漏洞（Double-Free和OOBW），而微軟的Teams 和 Windows 11也被挖出了多個(gè)嚴(yán)重的新漏洞。除此之外，Safari和Virtual Box沒能幸免。

（Synacktiv的David BERARD和VincentDEHORS找到特斯拉的兩個(gè)獨(dú)特Bug）

這一次的比賽是一個(gè)雙贏的結(jié)果，不僅參賽者能夠獲得獎(jiǎng)金，廠商還有90天的時(shí)間來修復(fù)這些漏洞，完善自己的產(chǎn)品。

參考資料：

https://www.forbes.com/sites/daveywinder/2022/05/22/firefox-browser-hacked-in-8-seconds-using-2-critical-security-flaws/

https://twitter.com/_manfp

https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/

簡(jiǎn)歷造假，使不得??！

一個(gè)性價(jià)比極高的Java學(xué)習(xí)社群

給大家看一張圖