Dicséretet kapott a Mozilla a Pwn2Own-tól biztonsági hibajavítási gyorsaságáért

Titkosítás, biztonság, privát szféra

A héten zajlott a Zero Day Initiative (ZDI) népszerű, biztonsági szakemberek számára szervezett "törjünk fel mindent, amit csak tudunk komoly pénzdíjakért és dicsőségpontokért" vetélkedőjének egyik ága, a Pwn2Own Vancouver 2024. A vetélkedőn a szakemberek sorra mutatták be 0day sebezhetőségekre írt exploitjaikat a gyakorlatban. Elesett a rendezvény alatt a Windows 11, VMware Workstation, Google Chrome, Safari, VirtualBox, Tesla ECU, Ubuntu Linux és a Mozilla Firefox is, hogy csak a nagyobbakat említsük.

Az elesettek között azonban a Mozilla élen jár abban, hogy a bemutatott 0day sebezhetőségeket - (két 0day bug - Manfred Paul (@_manfp) earned a $100,000 award and 10 Master of Pwn points after exploiting an out-of-bounds (OOB) write flaw (CVE-2024-29944) to gain remote code execution and escaping Mozilla Firefox's sandbox using an exposed dangerous function weakness (CVE-2024-29943)) - a gyártók közül a leggyorsabban javította. Ezért a teljesítményéért a Pwn2Pwn szervezője, a ZDI dicséretben részesítette a nyílt forráskódú böngészőt gyártó projektet. ☝‍️

Részletek a ZDI hírfolyamában.

( fezo | 2024. 03. 23., szo – 16:47 )

Nálunk a cégnél épp múlt héten tiltották be és távolították el központilag minden gépről biztonsági okok miatt (távolról nem menedzselhető). Helyette Edge vagy Chrome az ajánlott... LOL

Minden hulla a Mount Everesten valamikor egy nagyon motivált ember volt.

Én azért titkon drukkolok neked h. sikerüljön.

Mikor 1 kibaszott total commandert nem lehet a céges gépre felrakni semmilyen legális módszerrel, helyette explorer-ből kell baszakodni sorrendezéssel, összehasonlítással, szinkronizálással és az összes többi évtizedek óta működő TC-fícsör hiányával, akkor azért mindig szívesen elképzelném h. az IT policyt meghozó droidok a szaharában senyvednek a tűző napon 1 korty víz nélkül.

Olvasva az efféle hozzászólásokat, mindig ráébredek, hogy egész jó helyen dolgozom. Céges Win10-re azt teszek, amit akarok, persze ésszel, nyilván nem veszélyeztetve bármit is. Ezen felül saját linuxos gépem is van benn, amelyet én adminisztrálok. Megint csak az van, hogy nem eszetlenkedik az ember, nem trollkodik, nem okoz kárt, hanem dolgozik rajta. Így kellemes a munkakörnyezet, a cég meg nem borul össze.

Tudom, ma már nem divat, de nyilván efféle bizalom nem menne olyan mentalitással, mint ami régen létezett egyesek részéről - nem nálunk -, hogy filmet egész nap céges hálózatot használva torrentezni lefele, meg seed-elni, meg egyéb, ilyen mélységű pofátlanságok.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( kleinie | 2024. 03. 24., v – 00:20 )

Akármennyire ássák a sírját, akkor is Firefox!

( sabe v | 2024. 03. 24., v – 07:06 )

and 10 Master of Pwn points

ezt beválthatja kedvezményes nagymenüre a mekiben vagy mire jó?

Inkább ide reportol minden épeszűbb security ricsörcser, minthogy az arrogáns msft sec response idiótáival harcoljon. Akik hivatalból húzzák-halasztják a reagálást, ill. a hibák beismerését, mert akkor fizetni kellene. Helyette hetekig-hónapokig basznak visszaválaszolni, aztán meg vagy 1) a beadási formátumot szedik széjjel betűnként miért nem teljesítette a kívánalmakat, ezért felezik-harmadolják a kifizetendő pénzt. Vagy 2) addig húzzák a reagálást, míg kijavítják a hibát, és akkor lehet arra fogni a 0 dollárt hogy ők is megtalálták már a bugot házon belül. Vagy 3) jah ez by design, vagy ez nem is remote szekuriti bug, mert a usernek kellett 1-et klikkelnie és akkor megintcsak 0 dollár.

Na ezek miatt inkább minden jóérzésű szabadúszó megy oszt a guglinak jelenti le jó pénzért a windows faszságait is. Működik az exploit? Tessék, lehet menni a pénztárhoz a lóvéért. Mikroszofték meg elmehetnek a security response centerükkel a búspicsába.