Hackean Safari e Internet Explorer 8 en Pwn2Own 2011

Escrito por Antonio
Actualidad

Como en años anteriores, se celebra la quinta edición del concurso Pwn2Own que nuevamente tiene lugar en Vancouver (Canadá) del 9 al 11 de marzo, donde participan los mejores hackers del mundo para encontrar vulnerabilidades en navegadores. En esta edición, los navegadores objetivo son Internet Explorer, Mozilla Firefox, Safari y Google Chrome, que deberán estar instalados bien en un sistema Windows 7 de 64 bits o bien en un Mac OS X de 64 bits. En el primer día del concurso, han caído los navegadores de Apple y de Microsoft. Conoce todos los detalles a continuación.

El primer navegador en ser hackeado fue Safari, ejecutándose bajo un Apple MacBook Air 13″ con la última versión de Mac OS X de 64 bits. En este caso, un grupo de hackers franceses llamado VUPEN fue capaz de ejecutar la calculadora y escribir un fichero en disco desde el navegador, cinco segundos después de visitar una página web especialmente diseñada, y además sin colgar el navegador. De esta forma, el exploit se saltó los sistemas de seguridad ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) incluidos en Mac OS X.

Según Chaouki Bekrar, miembro del grupo VUPEN, para poder explotar esta vulnerabilidad prácticamente tuvieron que partir de cero, al no existir apenas documentación acerca de explotar vulnerabilidades en 64 bits. Además, Bekrar afirma que existen muchas vulnerabilidades en el motor JavaScript de código abierto Webkit.

Por otro lado Stephen Fewer, investigador de seguridad irlandés, fue capaz de hackear Internet Explorer 8 bajo un sistema Windows 7 SP1 de 64 bits. Fewer utilizó used dos vulnerabilidades de seguridad zero-day de Internet Explorer para ejecutar código remoto y encadenó una tercera vulnerabilidad para salir de la sandbox del modo protegido de Internet Explorer. Este exploit también fue capaz de saltarse los sistemas de seguridad DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization).

En este último caso, no se harán públicos los detalles de esta vulnerabilidad hasta que Microsoft lance un parche que la corrija.

Tanto el grupo VUPEN como Stephen Fewer ganaron 15.000 dólares más el ordenador portátil en el cual fueron capaces de explotar la vulnerabilidad.

¿Qué ocurrirá en los próximos dos días? ¿Serán capaces Mozilla Firefox y Google Chrome de aguantar las embestidas de estos hackers? La respuesta la tendremos al acabar el concurso Pwn2Own 2011.

Vía | ZDNet 1, ZDNet 2

Compártelo. ¡Gracias!

Noticias relacionadas

Comentarios

11 comentarios
  1. cristobal 10 Mar, 11 9:48

    hola,antonio,sabia que dia 10 empezaba evento,a ver si encuentro videos en alguna pagina web,cuando termine evento,el año pasado vencio navegador chrome……¿pero porque internet explorer 8 ?……..y no el 9 ?…….,saludos

    Responder
    0
    1. Islander 10 Mar, 11 10:07

      Sospecho que les parecería absurdo atacar el IE9 cuando aún no se dispone de una versión final pública y por tanto aún habrá cambios en el código. Ya tocará para el año que viene.

      Responder
      0
      1. cristobal 10 Mar, 11 10:43

        hola,islander,gracias respuesta,creo te conozco de otra pagina web,que debates muy sabiamente en contra de configurar el maximo de procesadores en el arranque de w7,de acuerdo contigo.
        pero yo creo que me puedo expresar libremente y creo que bill gates & microsoft tienen tan poca seguridad en su navegador internet explorer 9 que ha esperado que pase el evento pwn20 wn 2011 para que no quede en ridiculo su navegador,saludos

        Responder
        0
        1. Anónimo 10 Mar, 11 13:37

          tienes algun argumento o pruebas para decir que IE9 es poco seguro?

          Responder
          0
          1. cristobal 10 Mar, 11 13:40

            hola investiga,molestate en informarte como yo he echo,saludos.

            0
          2. cristobal 10 Mar, 11 13:58

            hola,he necesitado dias semanas y meses contrastando informacion de diferntes fuentes(webs) para saber sobre internet explorer desde la primera version hasta la actuales: I.E.8 y I.E.9.,saludos.

            0
          3. Anónimo 10 Mar, 11 17:23

            IE9 todavia no ha salido, asi que aver si dejamos de saltarle al cuello a IE9 cuando ni siquiera ha salido. estoy completamente seguro que ni siquiera has echo ninguna prueba con ningun navegador para ver cual es el mejor. es mas, apostaria a que ni siquiera has probado la beta de IE9, criticar por criticar, asi nos va…

            0
  2. cristobal 10 Mar, 11 18:02

    hola,anonimo,si si lo que tu digas,pero tu siempre tendras problemas con tu queridisimo internet explorer y yo ninguno con chrome,saludos.

    Responder
    0
    1. Anónimo 11 Mar, 11 0:57

      Owned en toda regla cristobal, ni siquiera lo has probado, lo que dije, criticar por criticar…en fin

      PD uso mozilla y chrome

      Responder
      0
  3. comment 10 Mar, 11 20:54

    la propia pela, chrome es el mejor ,el mas seguro, el mas rapido,me daria bastante risa si son capaz de hackearlo, va a quedar mas de uno viendo un chispero

    Responder
    0
    1. cristobal 10 Mar, 11 21:10

      hola,comment,seria la primera vez que hackearan a chrome,el año pasado en el mismo evento solo chrome se salvo,saludos.

      Responder
      0