Celebrada la PW20WN 2013

Compartir

Els primers en caure van ser els navegadors web IE 10 i Firefox 19.

Com cada any dins del marc de la CanSecWest, s’ha celebrat la PW20WN, un concurs en el que hackers i empreses de seguretat busquen noves maneres de poder-se saltar la seguretat dels navegadors.

En aquesta darrera edició, els primers en caure van ser Internet Explorer 10 i Firefox 19, que foren enderrocats per l’empresa de seguretat VUPEN. Segons comenten, per a Firefox 19 van emprar use-after-free i una nova tècnica per a passar per alt l’ASLR/DEP en Windows 7 sense la necessitat de cap ROP. Per a l’Internet Explorer 10 van utilitzar les vulnerabilitats de la tablet Surface Pro.

Després li va tocar el torn al Chrome 25, que fou vulnerat per MWR Lab, els quals entrant per una web amb contingut maliciós, van poder executar codi en el procés de renderització de la sandbox. Aquesta mateixa empresa va trobar una vulnerabilitat en Windows 7 per aconseguir més privilegis i així poder executar comandes d’administrador, sense necessitat d’estar dins de la sandbox.

D’altra banda, el hacker George Hotz -conegut pels jailbreak de l’iPhone- es va poder saltar les proteccions del Flash i el Reader, ambdós d’Adobe, i tenir lliure accés a PDF i Flash. Finalment, Java fou el més fàcil d’atacar.

En resum, durant els 3 dies de la fira es van repartir un total de mig milió de dòlars. Vupen fou la que s’endugué gairebé la meitat del premi, uns 250.000 dòlars, i la resta fou repartit entre unes quantes empreses i desenvolupadors individuals.

 

Copyleft 2013 www.imatica.org
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà www.imatica.org

YCOM
Últimes entrades de YCOM (Veure'ls tots)
Etiquetes: