IE 10, Chrome y Firefox hackeados en Pwn2Own 2013

marzo 7, 2013 § Deja un comentario

Los tres navegadores han sido hackeados el primer día del concurso hacker Pwn2Own de la conferencia de seguridad CanSecWest 2013 que ha comenzado a celebrarse en la ciudad canadiense de Vancouver.

IE 10 ha sido hackeado en Windows 8 por los investigadores de la firma VUPEN, saltando el espacio de memoria protegida (sandbox) y sus dos partes de seguridad (ASLR y DEP). De esta forma han ejecutado código sin que se caiga el navegador, superando todas las protecciones.

VUPEN también ha hackeado Firefox, utilizando principios similares pero en un ataque menos complejo ya que el navegador web libre de Mozilla no tiene este tipo de sandbox. El ataque también utiliza un error de desbordamiento de Windows.

En cuanto a Chrome, también ha sido hackeado en este caso por Labs MWR, utilizando una vulnerabilidad del Kernel Windows en Windows 7 para elevar los privilegios y ejecutar comandos fuera del sandbox del navegador de Google.

No se han ofrecido demasiados detalles técnicos fuera de la conferencia ya que como sabes, todos los hacks se deben comunicar a las compañías. El concurso Pwn2Own está patrocinado por HP’s DVLabs ZDI y Google, entre otros, cuenta con más de medio millón de dólares en premios y su objetivo es encontrar nuevas vulnerabilidades en los actuales navegadores web y plugins.

Actualización 1: VUPEN ha ganado USD 250.000 luego de realizar ataques exitosos a: IE10/Win8, Java/Win7, Firefox/Win7, Flash/Win7.

Actualización 2: Firefox ya ha corregido el bug en la función execCommand() (CVE-2013-0787) y lanza Firefox 19.0.2.

Actualización 3: ya se encuentra publicados los resultados de la competencia.

Actualización 4: concluye una nueva edición de Pwn2Own y MWR se ha llevado U$S 100.000 por vulnerar la seguridad de Chrome.

Actualización 5: Chrome en Windows es frágil, pero su hermano Chrome OS ha demostrado ser “incrackeable”, al menos durante la conferencia, así que Google se quedó con el paquete de premios de U$S 3,14159 millones a quien lo rompiera.

Actualización 6: Google Chrome también actualiza a la versión 25.0.1364.160 para Windows, Mac y Linux.

Fuente: Muy Seguridad

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo IE 10, Chrome y Firefox hackeados en Pwn2Own 2013 en Seguridad Informática.

Meta

A %d blogueros les gusta esto: