Браузер Edge в последнее время называют самым надёжным из всех наиболее заметных вариантов на персональных компьютерах, как сама Microsoft, так и сторонние аналитики. Это не помешало дважды взломать его на мероприятии PwnFest, причём на один из взломов ушло лишь 18 секунд.
Эксперты по безопасности из китайской компании Qihoo 360 смогли без взаимодействия с пользователями взломать защиту в Edge и VMware Workstation. В первом случае использовались два эксплоита, основанные на исполнении кода в браузере на системном уровне. Одну уязвимость использовала команда Qihoo 360, другую нашёл южнокорейский хакер Lokihardt, именно он управился с браузером за секунды.
Их усилия были вознаграждены суммой в $140000, информация об уязвимостях передана в Microsoft для выпуска патчей и предотвращения их использования в атаках. Также команда из Qihoo взломала VMware Workstation 12.5.1 и получила за это награду в $150000.
Microsoft недавно уже закрыла ряд уязвимостей, на которые рассчитывали хакеры, поскольку на этой неделе были выпущены ежемесячные вторничные патчи. Среди прочих была закрыта уязвимость Windows 10, которую ранее обнародовала компания Google.
Бюллетень MS16-129 относится к браузеру Edge и закрывает уязвимости удалённого выполнения кода (для использования которых требуется взаимодействие с пользователем). В очередной раз можно убедиться, что на 100% надёжных приложений не существует и поэтому нужно устанавливать обновления безопасности по мере их появления.