Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/03/2014
Els principals navegadors cauen en el Pwn2Own 2014
Els dies 12 i 13 de març es va celebrar una nova edició del Pwn2Own, el concurs on els descobridors de vulnerabilitats per als principals navegadors en diferents sistemes operatius i plugins es porten importants premis econòmics. Internet Explorer, Firefox, Chrome i Safari, no es van alliberar dels atacs i van mostrar la seua cara més dèbil.
Pwn2Own és l’esdeveniment anual que aglutina els millors investigadors de seguretat i on es posen a prova els navegadors web més populars en diferents sistemes operatius, així com en els plugins més atacats: Adobe Reader, Flash i Java. Pwn2Own, que se celebra en la ciutat canadenca de Vancouver, està patrocinat per l’empresa Zero Day Initiative ZDI de HP, una companyia que s’encarrega de posar en contacte a investigadors de seguretat i companyies de programari per a garantir una publicació coordinada de vulnerabilitats.
El primer dia es va tancar amb cinc intents reeixits contra altres tants productes diferents, que es van portar 400.000 dòlars en premis més altres 82.000 en donacions a la Creu Roja Canadenca en l’esdeveniment Pwn4Fun.
En el Pwn4Fun, Google va mostrar un exploit contra Apple Safari que aconseguia llançar la Calculadora com root en Mac OS X. Mentres que ZDI va presentar un exploit de múltiples fases, que incloïa una fuga de la "sandbox", contra Microsoft Internet Explorer, que aconseguia executar la Calculadora Científica (amb permisos intermedis).
En el Pwn2Own pròpiament dit, Jüri Aedla va aconseguir l’execució de codi en Mozilla Firefox a través d’una lectura/escriptura fora de límits. Mariusz Mlynski, va mostrar dos vulnerabilitats, també contra Mozilla Firefox, la primera permetia l’escalat de privilegis mentres que la segona permetia evitar les mesures de seguretat del navegador.
D’altra banda, l’Equip VUPEN va aconseguir quatre atacs reeixits, tres d’ells amb resultat final d’execució de codi. El primer contra Adobe Flash, per un ús després d’alliberar memòria amb un salt de la "sandbox" d’Internet Explorer. Contra Adobe Reader un desbordament de búfer junt amb una fuga de la "sandbox" PDF i contra Firefox un ús després d’alliberar memòria. Per últim, una fuga de la "sandbox" de Microsoft Internet Explorer.