Браузер Microsoft Edge пять раз взломали на соревновании Pwn2Own

Используемый по умолчанию в операционной системе Windows 10 браузер Edge разрабатывался с прицелом на скорость, надёжность и безопасность по сравнению с Internet Explorer. Также Microsoft высказывала робкую надежду, что он станет полноценным конкурентом для Google Chrome и Firefox.

Если по скорости работы к браузеру претензий нет, то в плане безопасности не всё так хорошо, что показало в марте хакерское соревнование Pwn2Own. Браузер Microsoft Edge сумели взломать пять раз, почти все участники соревнования сосредоточили свои усилия именно на нём. Были попытки взломать и Chrome, но за отведённое время это оказалось невозможным.

За два дня соревнований пять команд смогли взломать Edge, одна в первый день и четыре во второй. Команда Team Ether из компании Tencent Security получила награду в размере $80000 за взлом движка Chakra JavaScript и выполнение произвольного кода. Команды Lance и Sniper из этой же компании получили $55000 каждая за взлом браузера на второй день посредством уязвимостей типа use-after-free (UAF) всё в том же движке Chakra.

Независимый исследователь Ричард Жу обнаружил две уязвимости UAF в Edge и ядре Windows, которые использовал для взлома браузера и стал богаче на те же 55000. Специалисты компании 360 Security взломали браузер при помощи ряда багов программного обеспечения Microsoft — Edge, Windows и VMWare Workstation. Что касается браузера Chrome, ближе всех к его взлому была команда Sniper, но ей не хватило времени.

Можно надеяться, что в ближайшее время Microsoft закроет все найденные в данном соревновании уязвимости и пользователи не будут подвергаться риску через них.