Twee ernstige beveiligingslekken in Firefox, waardoor aanvallers in combinatie met een Windows-lek volledige controle over het onderliggende systeem konden krijgen, zijn door Mozilla binnen 24 uur gepacht nadat het informatie over de kwetsbaarheden had ontvangen.

De beveiligingslekken werden tijdens de Pwn2Own-hackwedstrijd in het Canadese Vancouver gedemonstreerd door onderzoekers Richard Zhu, Amat Cama en Niklas Baumstark. De wedstrijd is een initiatief van het Zero Day Initiative (ZDI), dat onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden. Informatie over de beveiligingslekken wordt vervolgens met de betreffende leveranciers gedeeld zodat die updates voor hun gebruikers kunnen ontwikkelen.

Cama en Zhu maakten gebruik van een JIT-bug in Firefox en combineerden die met een kwetsbaarheid in de Windows-kernel om uit de sandbox van de browser te breken en het onderliggende systeem volledig over te nemen. Baumstark demonstreerde ook een JIT-bug, in combinatie met een “logic bug” om uit de sandbox te ontsnappen en zo het systeem over te nemen. In beide gevallen was alleen het bezoeken van een kwaadaardige website voldoende om een aanvaller toegang tot het systeem van het slachtoffer te geven. Er was geen verdere interactie vereist.

Voor de demonstratie ontvingen Zhu en Cama 50.000 dollar, de kwetsbaarheden van Baumstark werden met 40.000 dollar beloond. Details over de kwetsbaarheden werden vervolgens met Mozilla gedeeld, dat binnen 24 uur een nieuwe Firefox-versie uitrolde. De update naar Firefox 66.0.1 zal op de meeste systemen automatisch plaatsvinden. Naast kwetsbaarheden in Mozillas browser werden er ook beveiligingslekken in Apple Safari en Mozilla Edge gedemonstreerd. Wanneer ervoor deze browsers beveiligingsupdates verschijnen is nog niet bekend.