Todos los navegadores hackeados en el concurso de hackers Pwn2Own

Escrito por Antonio
Navegadores
6

Estos días se está celebrando en Vancouver (Canadá) el concurso anual Pwn2Own donde participan los mejores hackers del mundo para encontrar vulnerabilidades de seguridad en los principales navegadores del mercado. En el primer día del concurso, ya han sido capaces de hackear Internet Explorer 10, Mozilla Firefox 19 y Google Chrome 25. También -cómo no- han sido capaces de romper la seguridad de Java en varias ocasiones.

Internet Explorer 10, hackeado en el concurso

La empresa de seguridad VUPEN Security fue capaz de hackear Internet Explorer 10. Según publicó la firma en un mensaje en su cuenta oficial de Twitter, han podido comprometer la seguridad de una tableta Surface Pro con Windows 8 mediante la explotación de dos agujeros de seguridad en IE 10.

Chrome 25 tampoco pudo resistir los ataques

Por su parte, MWR Labs, una de las ramas de la empresa británica de seguridad MWR InfoSecurity, fue capaz de hackear Chrome 25 bajo Windows 7, explotando varias vulnerabilidades de seguridad no parcheadas. Los descubridores de estos problemas de seguridad afirmaron que, haciendo se visitara una página web maliciosa, pudieron explotar una vulnerabilidad que les permitió ejecutar código en el proceso de renderización que se encuentra en la sandbox. También se basaron en una vulnerabilidad del núcleo de Windows 7 para conseguir una elevación de privilegios y así poder ejecutar comandos con permisos de administrador fuera de la sandbox.

Firefox 19, hackeado por la misma empresa que comprometió Internet Explorer 10

VUPEN, que ha sido el principal protagonista en el primer día del concurso, también fue capaz de burlar la seguridad del navegador del panda rojo, Firefox. Lo consiguió utilizando nuevas técnicas para sortear las protecciones ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention), sin la ayuda de ninguna ROP (Return-Oriented Programming).

Java también tuvo sus momentos de “gloria”

La seguridad de Java fue comprometida nada menos que tres veces por los hackers. Por un lado, VUPEN rompió la seguridad del software utilizando desbordamientos de pila para conseguir filtración de memoria y así sortear la protección ASLR de Windows.

Por otro lado, Java también fue hackeado por el investigador de seguridad Joshua Drake, de la empresa Accuvant Labs, y por el consultor e investigador James Forshaw de la compañía Context Information Security. El primero utilizó un método similar al de la empresa VUPEN para romper la seguridad de Java, mientras que el segundo utilizó un ataque denominado “de reflexión”.

Los hackers, por delante de los desarrolladores

Todo ello demuestra que, por desgracia, no hay navegador 100% seguro en el mundo. Con los conocimientos y herramientas necesarias, los hackers siempre demuestran estar un paso por delante de los desarrolladores de software. Sin embargo, este tipo de concursos como Pwn2Own sirve para potenciar la seguridad del software, ya que los mejores hackers del mundo se dan cita en él para encontrar problemas de seguridad aún no resueltos y posteriormente informan a los desarrolladores correspondientes de las vulnerabilidades encontradas.

Vía | ZDNet

Compártelo. ¡Gracias!
Continúa leyendo

Comentarios

6 comentarios
  1. David 08 Mar, 13 17:58

    Ahi está, con 2 coj**** !! Con la ayuda de estos hachas seguro que los jefes se pondran las pilas y contrataran a alguno en sus filas para desarrollar navegadores realmente seguros.

    0
  2. linuxmints 09 Mar, 13 11:34

    por mucho que intente desarrollar sistemas de seguridad,todos seran hackeables con el tiempo..la informatica se creo con que lenguajes de programacion parcheados sin ninguna soildes..

    0
  3. linuxmints 09 Mar, 13 11:44

    esto es hereditario desde el comienzo de la informatica,los lenguajes de programacion no son solidos nunca prodran el total de seguridad siempre son parcheados por su falta de solides por mucho que se esmeren los programadores,,,

    0
  4. Rafa 09 Mar, 13 13:19

    Por qué seguimos confundiendo hacker con cracker?

    0
    1. Clockstown 09 Mar, 13 18:30

      son hackers, porque su causa es buena (Pwn2Own) -creo que la noticia es bastante clara-, NO LO HACEN DESDE OTRO LUGAR PARA ROBAR O BENEFICIARSE DE ALGUNA FORMA ELLOS MISMOS Y DEJAR AL SISTEMA VULNERABLE, luego de esto, varios terminan trabajando con las empresas o almenos ayudandolos de alguna forma, tambien independientemente.

      0
  5. Sapelain Sapi 10 Mar, 13 19:41

    Y no pudieron con el opera jajaja

    0