在刚刚结束的Pwn2Own温哥华黑客大赛上，参赛选手披露了两个Mozilla Firefox的高危漏洞，Mozilla员工在24小时内验证了该漏洞的真实性，并加班加点发布了相应的修复补丁。

这些漏洞是由Manfred Paul发现的，评级为“critical” 意味着其严重性评分在9.0或以上，分别是一个越界写入漏洞（CVE-2024-29943），和一个特权代码执行漏洞（CVE-2024-29944）。这两个Firefox漏洞为Manfred Paul带来了10万美元的奖金。

除此之外，Manfred Paul还成功地演示了对谷歌Chrome、微软Edge以及苹果Safari浏览器的漏洞利用，在这两天的比赛中总共赢得了202500美元的奖金和25个Pwn大师积分，最终荣获本届Pwn2Own黑客大赛Pwn大师称号。

法国的Synacktiv团队则以20个Pwn大师积分的成绩获得了第二名。该团队全程只展示了一个漏洞利用：特斯拉电子控制单元中的整数溢出漏洞。——但单这一个漏洞就为其赢得了20万美元，以及一辆全新的特斯拉Model 3。

Mozilla是这届赛事结束后首个发布补丁的厂商（受漏洞影响的各厂商通常会在90天内进行修补），该公司已在Firefox 124.0.1和Firefox ESR 115.9.1中修复了本文提到的安全漏洞。

赛事主办方Zero Day Initiative表示，Pwn2Own温哥华2024黑客大赛已圆满落幕，他们总共为29个0day漏洞颁发了1132500美元赏金。在今年举办的三次赛事活动中（多伦多、汽车、温哥华），他们一共已向参赛黑客奖励了3494750美元。

编辑：左右里

资讯来源：Zero Day Initiative、Mozilla

转载请注明出处和本文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课