最近 Mozilla 在 Pwn2Own 網絡安全大會中,發現了兩個 Firefox 瀏覽器的重大漏洞,幸好很快就獲得修復,發現漏洞的研究人員也成功獲得獎金。
最近在溫哥華舉辦的 Pwn2Own 網路安全大會中,研究人員 Manfred Paul 展示了兩個 Firefox 瀏覽器的漏洞,包括涉及越界讀寫問題 的 CVE-2024-29943,黑客可以透過操縱 JavaScript 物件的邊界檢查消除來觸發。 另一個漏洞 CVE-2024-29944 則容許黑客透過向特權物件注入事件處理程式,在父程序中執行任意 JavaScript,問題更加嚴重。
Mozilla 在了解問題後,24 小時內就迅速修復漏洞,推出最新的 124.0.1 版本。Manfred Paul 因為發現 Firefox 瀏覽器的這個漏洞,獲得了 10 萬美元獎金,而他更是全場獲得最多獎金的研究人員,在為期兩天的大會中總共透過展示 Firefox、Safari、Edge 和 Chrome 的漏洞總共獲得 202,500 美元獎金。這類活動除了讓研究人員可以一展身手並進行業界交流外,也是軟件開發商發揮開發社群的力量找出產品潛在問題的好機會。
來源:The Register
