Los principales navegadores y Java han sido hackeados en el primer día de Pwn2Ow

Iniciado por wolfbcn, 8 Marzo 2013, 02:48 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Teniendo en cuenta las grandes cantidades de dinero ofrecidas en Pwn2Own 2013, no deberíamos sorprendernos que la mayoría de los navegadores web han sido hackeados en el primer día de la competencia, celebrada estos días en Canadá como parte de la conferencia CanSecWest.

Hasta ahora, Firefox, Internet Explorer 10, Java y Chrome han sido hackeados por los concursantes.

La empresa de seguridad francesa VUPEN anunció que logró explotar Internet Explorer 10 en Windows 8, Firefox 19 en Windows 7 y Java.

"Hemos hackeado MS Surface Pro con dos errores de día cero de IE10 para lograr un compromiso completo de Windows 8 con evitación del entorno de seguridad", escribió VUPEN en Twitter.

"Hemos hackeado Firefox usando un error use-after-free y una nueva técnica para eludir ASLR/DEP en Win7 sin necesidad de ningún ROP", dijo la empresa dos horas más tarde.

Parece que en el caso de Java, aprovecharon un "desbordamiento de heap único como una pérdida de memoria para eludir ASLR y ejecutar código".

"Todos los fallos de día cero descubiertos y las técnicas que hemos utilizado en #Pwn2own han sido divulgados a los proveedores de software afectados para permitirles ofrecer parches y proteger a los usuarios", dijo VUPEN.

Los expertos de MWR Labs han logrado demostrar un exploit de derivación completa de sandbox en la última versión estable de Chrome.

"Visitando una página web maliciosa fue posible aprovechar una vulnerabilidad que nos permitió obtener la ejecución de código en el contexto del proceso de renderizado protegido por un entorno de seguridad", escribieron los representantes de MWR Labs.

"También usamos una vulnerabilidad en el kernel del sistema operativo subyacente para obtener privilegios elevados y para ejecutar comandos arbitrarios fuera del entorno de seguridad con privilegios de sistema."

Java también ha sido hackeado por Josh Drake de Accuvant Labs y James Forshaw de Contextis.

Actualmente, VUPEN está trabajando en abrir una brecha en Flash, Pham Toan está intentando hackear Internet Explorer 10, y el famoso George Hotz trata de crackear Adobe Reader.

FUENTE : http://news.softpedia.es/Los-principales-navegadores-y-Java-hna-sido-hackeados-en-el-primer-dia-de-Pwn2Own-2013-335318.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.