La nuova edizione di Pwn2Own 2018, si è tenuto la scorsa settimana; proprio come l’anno scorso, purtroppo Microsoft Edge è stato nuovamente violato ma ha mostrato maggiore resistenza .

Microsoft Edge violato solo al terzo tentativo

Richard Zhu è tornato a prendere di mira Microsoft Edge con un EoP del kernel di Windows. Dopo il suo primo tentativo fallito, ha proceduto a mettere a punto il suo exploit. Il suo secondo tentativo è quasi riuscito, ma una BSOD è comparsa proprio nel momento in cui si è avviata la shell. Il terzo tentativo è riuscito con solo un minuto e 37 secondi dalla fine. Alla fine, ha usato due bug (after-free-free) (UAF) nel browser e un overflow intero nel kernel per eseguire correttamente il suo codice con privilegi elevati. Lo sforzo gli è valso 70.000 $.

Sebbene apparentemente Microsoft Edge non abbia fatto una gran bella figura, questi test sono importantissimi per accrescerne il livello di sicurezza. Il Pwn2Own 2018 ha permesso a Microsoft di scoprire e risolvere vari problemi del suo software.

Articolo di Windows Blog Italia