Microsoft выплатила $100k security-ресерчерам из группы [Zero Day Initiative (ZDI)][1] за демонстрацию метода успешного обхода новейших механизмов защиты Internet Explorer 11 от уязвимостей. Речь идет о механизмах браузера под общим названием Anti-Use-After-Free (_Anti-UAF_). Еще $25k были выплачены за продемонстрированный механизм защиты от обнаруженной уязвимости. Выплаты производились в рамках поддерживаемой компанией инициативы под названием _[Mitigation Bypass and BlueHat Defense][2]_.
> To collect the main $100,000 prize, the team outlined techniques and steps to attack the
>
> _ Isolated Heap_
>
> and
>
> _MemoryProtection _
>
> functions in the latest version of Microsoft Internet Explorer. Along with this, they describe how an attacker can use MemoryProtection as an oracle to completely bypass ASLR.
![][3] [Читать дальше →][4]
[1]:
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/HPSR-Microsoft-disclosure-and-the-125-000-bug-bounty/ba-p/6704588
[2]:
https://technet.microsoft.com/en-US/security/dn425049
[3]:
http://habrastorage.org/getpro/habr/post_images/475/447/2a5/4754472a5249d9a90e508adc21077da0.png
[4]:
http://habrahabr.ru/post/249877/#habracut