Chrome, Internet Explorer 9 y Mozilla 10 hackeados

Iniciado por wolfbcn, 11 Marzo 2012, 20:45 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Internet Explorer, Firefox y Chrome han sido hackeados durante la edición del concurso Pwn2Own. Únicamente el navegador de Apple, Safari se ha salvado de la vulnerabilidad conocida como "0-day" que implica la ejecución de código remotamente.

La ciudad canadiense de Vancouver ha celebrado la sexta edición del concurso donde participan los mejores hackers del mundo. Del 7 al 9 de marzo se dieron cita los "genios en seguridad informática" y consiguieron saltarse la seguridad de todos los navegadores a pesar de que estaban actualizados y parcheados.

Google Chrome, el primero en caer

A pesar de que está considerado como uno de los navegadores más seguros del mundo, el grupo francés VUPEN logró aprovechar un fallo de seguridad a través del cual tomaron el control del ordenador con Windows 7 SP1 y las últimas actualizaciones de seguridad. Según recoge Softzone.es, el grupo de hackers reconoció que "Chrome era su principal objetivo después de que el año pasado nadie logrará quebrantar la seguridad del navegador propiedad de Google".

Internet Explorer 9 también se convirtió en víctima

El mismo grupo también logró hackear el navegador de Microsoft con dos vulnerabilidades 0-day. Para ello utilizaron un "desbordamiento de pila sin parchear" para sortear las protecciones del Explorer. También emplearon una vulnerabilidad de corrupción de memoria para evitar la sandbox de modo protegido del navegador de Microsoft.

Firefox 10 tampoco se libró

El navegador del zorro naranja también fue hackeado por el grupo formado por Willem Pinckaers y Vincenzo Iozzo que consiguieron 30.000 dólares de premio. Para ello utilizaron un exploit que aprovechaba una vulnerabilidad de Firefox 10 y saltaba con éxito las protecciones denominadas DEP y ASLR que incluye Windows y evitan este tipo de ataques. Según el conocido grupo, lograron ejecutar la vulnerabilidad hasta en tres ocasiones obteniendo acceso al código del navegador y filtrando direcciones de datos.

El navegador de Apple se libra

Safari fue el único "browser" que no fue hackeado en el conocido concurso. Algunos expertos en seguridad señalan que el navegador de Apple no fue el principal objetivo y por eso se libró de los famosos "exploits". Por otro lado, algunos usuarios señalan que Safari se ha convertido en uno de los navegadores más famosos. Probablemente en la edición de 2013 será uno de los principales objetivos al igual que lo fue este año Chrome tras salir victorioso en la edición del pasado año.

¿Qué navegador piensas que es el más seguro?

FUENTE
:http://www.adslzone.net/article8143-chrome-internet-explorer-9-y-mozilla-10-hackeados.html

Relacionado
:

https://foro.elhacker.net/noticias/graves_vulnerabilidades_en_el_navegador_apple_safari_5-t356162.0.html

https://foro.elhacker.net/noticias/chrome_ya_no_es_infalible_ha_caido_por_primera_vez_en_pwnium_y_en_pwn2own-t355906.0.html

https://foro.elhacker.net/noticias/internet_explorer_tambien_cae_en_la_competicion_pwn2own-t356015.0.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

jhonatanAsm

CitarEl navegador de Apple se libra

tiene una muy buena seguridad o, es que no lo quieren hackear?
mi primer lenguaje fue ensamblador, tengo 60 años, y no creo que haya sido un error.

- La mayor complejidad de todas es hacer complejo algo que no lo es.

- El inteligente no es aquel que lo sabe todo sino aquel que sabe utilizar lo poco que sabe.

Servia

Cita de: jhonatanAsm en 12 Marzo 2012, 00:15 AM
tiene una muy buena seguridad o, es que no lo quieren hackear?

http://foro.elhacker.net/noticias/graves_vulnerabilidades_en_el_navegador_apple_safari_5-t356162.0.html

Nadie lo usa. No he visto un mac que no tenga y haga uso de firefox/chrome en vez de safari. Es como el IE de windows.

WHK

#3
Yo encontré dos fallas en google chome pero no sirvieron de mucho, una falla es que pude lograr entrar al about:settings desde una url externa y enviar peticiones get de forma arbitraria, pero el panel de configuraciones no tiene ningún comando que conozca que se ejecute via get, pero por lo menos pude acceder y me dijeron en el tracker que ya estaba parchado en la versión beta.
<a href="view-source:chrome://settings/browser">lol</a>
Igual lo dejaron privado (hasta ahora :p).

Cabe mencionar que he encontrado ya bastantes fallas incluyendo un desbordamiento de memoria y hasta aparezco en el hall of fame del proyecto del chrome pero hasta el momento no he recibido ni si quiera una gorra xD, ni hablar de facebook, le he encontrado una montonada de fallas de tipo CSRF y jamas me han dado nada tampoco, hasta en blogger habia encontrado un bug que podía aprovechar pishing y bueno... recibí las gracias :D pero jamás nadie me ha dado dinero por encontrarle falla a algo exepto en la empresa donde trabajo :P

Con el único que no he intentado es con firefox, talves ellos si me den algo xD.

Además un error (para mi) en webit donde puedes interrumpir las cadenas de carácteres en chrome y safari anteponiendo un carácter \x08 (back), raro pero lo quebra.

Azielito

WHK, y por que no los publicas asi todos? al final si no te dan nada mejor es hacerte famoso y tal vez un dia te contraten como ing de seguridad =D

Lo importante es que sepan de ti =D

WHK

Cita de: Azielito en 12 Marzo 2012, 16:06 PM
WHK, y por que no los publicas asi todos? al final si no te dan nada mejor es hacerte famoso y tal vez un dia te contraten como ing de seguridad =D

Lo importante es que sepan de ti =D

Lo voy a pensar bien seriamente :-/

Draklit