jueves, 7 de marzo de 2013

Internet Explorer 10, Chrome y Firefox, han sido hackeados el primer día del concurso hacker Pwn2Own

 
Conferencia de seguridad CanSecWest 2013 que ha comenzado a celebrarse en la ciudad canadiense de Vancouver.
 
IE 10 ha sido hackeado en Windows 8 por los investigadores de la firma VUPEN, saltando el espacio de memoria protegida (sandbox) y sus dos partes de seguridad (ASLR y DEP). De esta forma han ejecutado código sin que se caiga el navegador, superando todas las protecciones.
 
VUPEN también ha hackeado Firefox, utilizando principios similares pero en un ataque menos complejo ya que el navegador web libre de Mozilla no tiene este tipo de sandbox. El ataque también utiliza un error de desbordamiento de Windows.
 
En cuanto a Chrome, también ha sido hackeado en este caso por Labs MWR, utilizando una vulnerabilidad del kernel Windows en Windows 7 para elevar los privilegios y ejecutar comandos fuera del sandbox del navegador de Google.
No se han ofrecido demasiados detalles técnicos fuera de la conferencia ya que como sabes, todos los hacks se deben comunicar a las compañías. El concurso Pwn2Own está patrocinado por Hewlett Packard y Google, entre otros, cuenta con más de medio millón de dólares en premios y su objetivo es encontrar nuevas vulnerabilidades en los actuales navegadores web y plugins.