在刚刚结束的Pwn2Own温哥华黑客大赛上,参赛选手披露了两个Mozilla Firefox的高危漏洞,Mozilla员工在24小时内验证了Paul的漏洞的真实性,并加班加点发布了相应的修复补丁。
这些漏洞是由Manfred Paul发现的,评级为“critical” 意味着其严重性评分在9.0或以上,分别是一个越界写入漏洞(CVE-2024-29943),和一个特权代码执行漏洞(CVE-2024-29944)。这两个Firefox漏洞为Manfred Paul带来了10万美元的奖金。除此之外,Manfred Paul还成功地演示了对谷歌Chrome、微软Edge以及苹果Safari浏览器的漏洞利用,在这两天的比赛中总共赢得了202500美元的奖金和25个Pwn大师积分,最终荣获本届Pwn2Own黑客大赛Pwn大师称号。法国的Synacktiv团队则以20个Pwn大师积分的成绩获得了第二名。该团队全程只展示了一个漏洞利用:特斯拉电子控制单元中的整数溢出漏洞。——但单这一个漏洞就为其赢得了20万美元,以及一辆全新的特斯拉Model 3。Mozilla是这届赛事结束后首个发布补丁的厂商(受漏洞影响的各厂商通常会在90天内进行修补),该公司已在Firefox 124.0.1和Firefox ESR 115.9.1中修复了本文提到的安全漏洞。赛事主办方Zero Day Initiative表示,Pwn2Own温哥华2024黑客大赛已圆满落幕,他们总共为29个0day漏洞颁发了1132500美元赏金。在今年举办的三次赛事活动中(多伦多、汽车、温哥华),他们一共已向参赛黑客奖励了3494750美元。编辑:左右里
资讯来源:Zero Day Initiative、Mozilla
转载请注明出处和本文链接
端到端加密(end-to-end encryption)
一种加密算法,保护双方(也就是客户端和服务器)之间的通信安全,并且可以独立于链路加密技术实施。端到端的加密技术的例子是在发送者和接收者之间使用隐私增强邮件(PEM)传递邮件。这种技术可以阻止加密链路的安全端的通信数据或通过未加密的链路传送的通信数据遭到入侵者的监控。
文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458548918&idx=2&sn=7ef737b6b8265be41c3dcb64fc615884&chksm=b18d4a3c86fac32a825d100d75e1a370632e8b5756f08c9e98d4dde8f2202f64758d32df02be&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh