На Pwn2Own Microsoft Edge взломали пять раз

На проходившем недавно в Канаде соревновании среди команд специалистов по кибер-безопасности преемника Internet Explorer в Windows 10, браузер Microsoft Edge, взломали пять раз. И это при том, что новый браузер призван быть более быстрым, эффективным и безопасным по сравнению с IE, чтобы конкурировать с Google Chrome и Mozilla Firefox.
Разные команды за отведенное время обнаружили в Microsoft Edge одну уязвимость в первый день и четыре уязвимости во второй день. Команда Ether из Tencent Security получила за свою уязвимость в javascript-движке Chakra 80 000 долларов, команды Lance и Sniper из той же Tencent получили по 55 000 долларов за свои UAF (use-after-free) уязвимости обнаруженные в том же Chakra.
Независимый эксперт Ричард Чу (Richard Zhu) получил 55 000 долларов за UAF уязвимость в ядре Windows, которую он использовал для атаки на браузер. Команда 360 Security взломала Microsoft Edge, используя сразу несколько уязвимостей в продуктах Microsoft, включая heap overflow в Edge, уязвимость в ядре и приложении VMWare.
Что примечательно, так это то, что Google Chrome у хакеров взломать не получилось, команда Sniper из Tencent Security была близко, но у нее вышло время и ей не удалось закончить атаку. Будем надеяться, что Microsoft сможет исправить в Edge и ядре Windows все обнаруженные уязвимости до выхода в следующем месяце Windows 10 Creators Update.

Также по теме: