Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Pwn2Own 2015: los navegadores de internet no se salvaron de caer

Los principales navegadores web y los plugins comerciales de uso más común fueron vulnerados nuevamente en la competencia anual Pwn2Own.

La semana pasada se realizó la edición 2015 del concurso Pwn2Own, un evento donde los competidores buscan descubrir vulnerabilidades en los navegadores de diferentes sistemas operativos y algunos plugins de uso común. Al igual que el año pasado, Internet Explorer (IE), Firefox, Chrome y Safari no lograron resistir todos los ataques. Adobe Flash y Reader también fueron vulnerados. 

Pwn2Own es un evento anual que reúne a los mejores investigadores de seguridad, quienes compiten por importantes premios económicos poniendo a prueba las características de seguridad y desarrollo de los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: Adobe Reader, Flash y Java.

El evento, que se celebra en la ciudad canadiense de Vancouver, está organizado por Zero Day Initiative (ZDI), una compañía de HP que se encarga de poner en contacto a investigadores de seguridad y otras compañías de software para garantizar una publicación coordinada de vulnerabilidades.

Todas las vulnerabilidades encontradas durante estas competencias se reportan de manera responsable para que los fabricantes trabajen en actualizaciones para corregir los problemas que se detectan en sus productos. 

Día 1: Adobe, Mozilla e Internet Explorer

El primer día se pagaron $317.500 dólares en recompensas por los hallazgos de tres bugs en Adobe Reader, tres en Adobe Flash, tres en el sistema operativo Windows, dos en Internet Explorer 11 y dos en Mozilla Firefox.

Los equipos Team509 y KeenTeam explotaron Adobe Flash a través de un desbordamiento de búfer que permitía la ejecución remota de código. Luego elevaron sus privilegios mediante una vulnerabilidad en las fuentes TrueType. Recibieron $60.000 dólares por la vulnerabilidad en Flash y $25.000 más por escalar privilegios. 

Pwn2Own 2015 en números: 

* 5 vulnerabilidades en Windows 
* 4 vulnerabilidades en Internet Explorer 11 
* 3 vulnerabilidades en Mozilla Firefox 
* 3 vulnerabilidades en Adobe Reader 
* 3 vulnerabilidades en Adobe Flash 
* 2 vulnerabilidades en Apple Safari 
* 1 vulnerabilidad en Google Chrome 
* $552.500 dólares en premios

El investigador Nicolas Joly atacó Flash con éxito mediante una vulnerabilidad de ejecución remota de código por uso después de liberar memoria y fuga de la sandbox. Fue galardonado con $30.000 dólares por este descubrimiento. Joly también mostró otro ataque contra Adobe Reader mediante un desbordamiento de búfer y un desbordamiento de entero, lo que le granjeó otros $60.000 dólares.

Los equipos KeenTeam y Tencent PCMgr mostraron otra nueva vulnerabilidad en Adobe Reader, consiguiendo $55.000 dólares. 

Mariusz Mlynski atacó Mozilla Firefox mediante una vulnerabilidad de orígenes cruzados y un escalamiento de privilegios en el navegador, todo en menos de un segundo. Recibió $30.000 dólares por el bug de Firefox y otros $25.000 dólares por la escalada de privilegios. 

Por su parte, el equipo 360Vulcan aprovechó una vulnerabilidad de memoria sin inicializar en Microsoft Internet Explorer 11 de 64 bits para lograr la ejecución de código, con lo que se ganaron $32.500 dólares. 

Día 2: Los principales navegadores, vulnerados

El segundo día se otorgaron $235.000 dólares en premios; la suma de ambos días alcanzó la cifra de $552.500 dólares. 

El investigador ilxu1a atacó Mozilla Firefox con una vulnerabilidad de lectura y escritura fuera de límites, lo que le permitió ejecutar código y obtener así $15.000 dólares. Este competidor también intentó un ataque contra Google Chrome, pero el tiempo se agotó antes de que su código fuera funcional.

JungHoon Lee (lokihardt) reportó tres vulnerabilidades; la primera fue en Internet Explorer 11 de 64 bits, evadiendo todos los mecanismos de defensa con una fuga de la sandbox mediante una inyección Javascript. Fue recompensado con $65.000 dólares. También demostró un desbordamiento de búfer que afectaba a Google Chrome (incluida la versión beta), después empleó una fuga de información y una condición de carrera en dos controladores kernel de Windows para conseguir acceso a nivel de sistema. Con ello consiguió el mayor premio individual de todo el concurso: $110.000 dólares ($75.000 por el bug de Chrome, $25.000 por la escalada de privilegios y $10.000 de Google por el ataque a la versión beta).

Lee también atacó exitosamente Apple Safari con una vulnerabilidad de uso después de liberar memoria y evitando la sandbox para lograr la ejecución de código, lo que le reportó otros $50.000 dólares. En total, Lee se llevó la suma de $225.000 dólares por sus hallazgos.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close