Mozilla et Google ont déjà corrigé les vulnérabilités critiques de Firefox et Chrome exploitées récemment par des hackers white hat lors d’un concours en Chine.

La vulnérabilité Firefox, suivie comme CVE-2020-26950, a été décrite comme un problème lié à l’écriture d’effets secondaires dans MCallGetProperty l’opcode n’est pas pris en compte.

«Dans certaines circonstances, le MCallGetProperty l’opcode peut être émis avec des hypothèses non satisfaites résultant en une condition d’utilisation après libre exploitable », a déclaré Mozilla dans un avis publié lundi.

La faille a été corrigée avec la sortie de Firefox 82.0.3, Firefox ESR 78.4.1 et Thunderbird 78.4.2 quelques jours seulement après sa divulgation lors du concours international PWN de la Coupe Tianfu 2020, qui a eu lieu le week-end dernier en Chine. .

Quant à la vulnérabilité Chrome révélée lors de la Tianfu Cup, elle est identifiée comme CVE-2020-16016 et elle a été décrite par Google comme un problème de mise en œuvre inapproprié dans le base composant. Google l’a corrigé avec une mise à jour publiée lundi pour Chrome 86.

CVE-2020-26950 et CVE-2020-16016 ont été démontrés par une équipe de la société chinoise de cybersécurité Qihoo 360. Cette équipe a gagné plus de 740 000 $ sur le total de 1,2 million de dollars attribué aux participants à la Coupe Tianfu. Pour la vulnérabilité Firefox, ils ont gagné 40 000 $, tandis que pour la faille Chrome, qui leur permettait de réaliser l’exécution de code à distance avec une évasion de bac à sable, ils ont reçu 100 000 $.

Les mêmes chercheurs de Qihoo 360 ont gagné 20000 $ de Google plus tôt cette année pour une vulnérabilité d’échappement de bac à sable affectant Chrome.

Connexes: VMware corrige une vulnérabilité ESXi qui a rapporté 200000 $ à Hacker

Connexes: Google corrige davantage de vulnérabilités d’échappement de Chrome Sandbox à haute valeur ajoutée

Connexes: Mozilla patchs Firefox Zero-Day exploité dans des attaques ciblées

En relation: Firefox Flaw a permis aux pirates d’ouvrir à distance des sites malveillants sur les téléphones Android

Eduard Kovacs (@EduardKovacs) est un …