[#] Microsoft выплатила рекордные $125k за эксплойт
habrabot(difrex,1) — All
2015-02-06 13:30:02


Microsoft выплатила $100k security-ресерчерам из группы [Zero Day Initiative (ZDI)][1] за демонстрацию метода успешного обхода новейших механизмов защиты Internet Explorer 11 от уязвимостей. Речь идет о механизмах браузера под общим названием Anti-Use-After-Free (_Anti-UAF_). Еще $25k были выплачены за продемонстрированный механизм защиты от обнаруженной уязвимости. Выплаты производились в рамках поддерживаемой компанией инициативы под названием _[Mitigation Bypass and BlueHat Defense][2]_.

> To collect the main $100,000 prize, the team outlined techniques and steps to attack the
>
> _ Isolated Heap_
>
> and
>
> _MemoryProtection _
>
> functions in the latest version of Microsoft Internet Explorer. Along with this, they describe how an attacker can use MemoryProtection as an oracle to completely bypass ASLR.

![][3] [Читать дальше →][4]

[1]: http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/HPSR-Microsoft-disclosure-and-the-125-000-bug-bounty/ba-p/6704588
[2]: https://technet.microsoft.com/en-US/security/dn425049
[3]: http://habrastorage.org/getpro/habr/post_images/475/447/2a5/4754472a5249d9a90e508adc21077da0.png
[4]: http://habrahabr.ru/post/249877/#habracut