IE 10, Chrome y Firefox hackeados en Pwn2Own 2013.


Los tres navegadores han sido hackeados el primer día del concurso hacker Pwn2Own de la conferencia de seguridad CanSecWest 2013 que ha comenzado a celebrarse en la ciudad canadiense de Vancouver.

IE 10 ha sido hackeado en Windows 8 por los investigadores de la firma VUPEN, saltando el espacio de memoria protegida (sandbox) y sus dos partes de seguridad (ASLR y DEP). De esta forma han ejecutado código sin que se caiga el navegador, superando todas las protecciones.

VUPEN también ha hackeado Firefox, utilizando principios similares pero en un ataque menos complejo ya que el navegador web libre de Mozilla no tiene este tipo de sandbox. El ataque también utiliza un error de desbordamiento de Windows.

En cuanto a Chrome, también ha sido hackeado en este caso por Labs MWR, utilizando una vulnerabilidad del Kernel Windows en Windows 7 para elevar los privilegios y ejecutar comandos fuera del sandbox del navegador de Google.

No se han ofrecido demasiados detalles técnicos fuera de la conferencia ya que como sabes, todos los hacks se deben comunicar a las compañías. El concurso Pwn2Own está patrocinado por HP's DVLabs ZDI y Google, entre otros, cuenta con más de medio millón de dólares en premios y su objetivo es encontrar nuevas vulnerabilidades en los actuales navegadores web y plugins.


Actualización 1: VUPEN ha ganado USD 250.000 luego de realizar ataques exitosos a: IE10/Win8, Java/Win7, Firefox/Win7, Flash/Win7.

Actualización 2: Firefox ya ha corregido el bug en la función execCommand() (CVE-2013-0787) y lanza Firefox 19.0.2.

Actualización 3: ya se encuentra publicados los resultados de la competencia.

Actualización 4: concluye una nueva edición de Pwn2Own y MWR se ha llevado U$S 100.000 por vulnerar la seguridad de Chrome.

Actualización 5: Chrome en Windows es frágil, pero su hermano Chrome OS ha demostrado ser "incrackeable", al menos durante la conferencia, así que Google se quedó con el paquete de premios de U$S 3,14159 millones a quien lo rompiera.

Actualización 6: Google Chrome también actualiza a la versión 25.0.1364.160 para Windows, Mac y Linux.


No hay comentarios:

Publicar un comentario