sábado, 10 de marzo de 2012

Internet Explorer 9, Firefox 10 y Google Chrome 17, hackeados en Pwn2Own

Internet Explorer 9, Firefox 10 y Google Chrome 17, hackeados en Pwn2Own

Los mejores hackers del mundo han participado en la sexta edición del concurso Pwn2Own que se ha celebrado en Vancouver (Canadá) del día 7 al día 9 de marzo y donde se ha puesto a prueba la seguridad de los navegadores Internet Explorer, Firefox, Chrome y Safari instalados en Windows 7 o Mac OS X Lion, con las últimas actualizaciones y parches de seguridad instalados. Los resultados han sido contundentes: solamente Safari se ha salvado de ser hackeado por una vulnerabilidad 0-day, que implique ejecución remota de código. Conoce todos los detalles a continuación.

Google Chrome, el primer navegador en ser hackeado en el concurso

El primer navegador en caer fue Google Chrome, el único navegador que se salvó de ser hackeado el año pasado, y que era el principal objetivo de este año para los hackers. El grupo de hackers francés VUPEN, que finalmente fue el ganador del concurso Pwn2Own 2012, sacó provecho de un exploit mediante el cual pudieron tomar el control de un ordenador con Windows 7 SP1 con los últimos parches de seguridad instalados.
Según uno de los integrantes del grupo VUPEN, Chaouki Bekrar, Chrome era su principal objetivo este año:
Queríamos mostrar que Chrome no era invulnerable. El último año vimos un montón de titulares diciendo que nadie pudo hackear Chrome, así que este año queríamos asegurarnos de que fuera el primero en caer.
Ésto demuestra que cualquier navegador, o cualquier software, puede hackearse si existe suficiente conocimiento y motivación para ello.
Bekrar creó una página web con el exploit y, una vez que un ordenador simplemente visitara la página web, el exploit se ejecutaba y abría la calculadora fuera de la sandbox de Chrome, demostrando así que podría ejecutar cualquier programa.
Sin embargo, Bekar afirmó que no fue tarea fácil hackear Google Chrome:
La sandbox de Chrome es la mas segura de todas. No es una tarea sencilla crear un exploit completo para sortear todas las protecciones en la sandbox. Puedo decir que Chrome es uno de los navegadores más seguros en la actualidad.

Internet Explorer 9 cayó con dos vulnerabilidades 0-day

El mismo grupo de hackers VUPEN fue el encargado de hacer saltar las protecciones del nuevo navegador de Microsoft, Internet Explorer 9, utilizando un desbordamiento de pila sin parchear para así sortear las protecciones DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization), y también una vulnerabilidad de corrupción de memoria para saltarse la sandbox de modo protegido de Internet Explorer.
Este ataque no requería ninguna acción por parte del usuario, que se veía afectado simplemente al abrir una página web especialmente diseñada para el ataque. Además, este exploit también afectaba a Internet Explorer 10 ejecutándose bajo Windows 8 Consumer Preview.

Firefox 10 fue el último en ser hackeado

El grupo de hackers formado por Willem Pinckaers y Vincenzo Iozzo fue el encargado de explotar una vulnerabilidad 0-day en Firefox 10.0.2 bajo Windows 7 SP1, consiguiendo un premio de 30.000 dólares.
El exploit se aprovechaba de una vulnerabilidad del navegador y era capaz de sortear con éxito las protecciones DEP y ASLR, que son dos herramientas de Windows para intentar ofrecer mayor protección contra exploits.
Según Pinckaers, pudieron ejecutar la misma vulnerabilidad tres veces. En la primera de ellas pudieron filtrar alguna información; en la segunda, pudieron filtrar direcciones de datos, y en la tercera pudieron ejecutar código.

Safari, el único navegador que no ha sido hackeado en Pwn2Own 2012

El navegador de Apple ha salido victorioso del concurso Pwn2Own, al haber sido el único de los cuatro navegadores que no ha sido hackeado.
Sin embargo, se abre una discusión: ¿Safari no ha sido hackeado porque es el navegador más seguro o porque Chrome ha sido el principal objetivo de este año y los hackers no han tenido tiempo de hackearlo?
Ahí dejamos la pregunta. Esperamos que compatráis vuestras opiniones y comentarios con nosotros.


Fuente: mikejr1.es

7 comentarios:

SilverSource dijo...

K BIEN ESOS CONCURSOS AY SE VEN A PRUEBAS ESOS NAVEGADORES,EL PROXIMO AÑO SERA SAFARI PZ TODOS TIENEN A SAFARI EN LA MIRA BY --[Silver][SourcexD]

SilverSource dijo...

ESTUBO WENO ,AHORA TODOS SOBRE SAFARI K ES EL SUPUESTO NAVEGADOR LNVULNERABLE ..XD BY [Silver][SourcexD]

Anónimo dijo...

son grandes anonymous iberoamerik

Anónimo dijo...

ES evidente que los hacker han sido pagados por APPLE, para decir q safari es inhackeable.

hasta un niño se puede dar cuenta de ello

Unknown dijo...

Exelenten concurso, pero en mi opinion, los navegadores que han sido hacheados, no demuestran ser mas seguros que otro por el orden en que han sido hackeados, sino por que los hacker, tomaron un lugar para cada cual hachear un navegador en un momento presiso, no tomar ambos a la misma ves,como es en el caso de Safari, en mi pareser si no fue hackeado, es por que el tiempo nol e fue dado, ya que tuvieron un gran trabajo hackeando los demas

Anónimo dijo...

bueno es ovio q los hackers se centraron solo en chrome y otros navegadores ps como ya ven safari poca gente lo usa.. los dicen las estadisticas... pero seguro q ahora sera un blanco para el año q viene.. agarrate Apple :P

Anónimo dijo...

Que raro. Safari siempre ha sido hackeado. Esta es la primera ves que no lo hackean.