Web Analytics
Conecta con nosotros

Noticias

Pwn2own: Safari e IE8 caen

La competición de hacking pwn2own que está teniendo lugar en la conferencia de seguridad CanSecWest ha dejado claro que aún actualizando del todo los navegadores más modernos sigue habiendo agujeros de seguridad en casi todos ellos. De hecho, Safari fue el primero en caer en pocos minutos, mientras que Internet Explorer 8 también sufrió los ataques de los expertos en seguridad para ceder ante esas técnicas poco después. El único que por el momento resiste los ataques es Google Chrome.

Publicado el

La competición de hacking pwn2own que está teniendo lugar en la conferencia de seguridad CanSecWest ha dejado claro que aún actualizando del todo los navegadores más modernos sigue habiendo agujeros de seguridad en casi todos ellos. De hecho, Safari fue el primero en caer en pocos minutos, mientras que Internet Explorer 8 también sufrió los ataques de los expertos en seguridad para ceder ante esas técnicas poco después. El único que por el momento resiste los ataques es Google Chrome.

 

Estas conferencias de seguridad, celebradas en Vancúver estos días, son ya muy conocidas por estas competiciones en las que expertos en seguridad tratan de poner a prueba las barreras que imponen los navegadores a posibles ataques de hackers y crackers.

 

Pwn2own: Safari e IE8 caen 30

 

En este caso Safari fue el primero en caer: un equipo de investigadores de la empresa de seguridad VUPEN lograron aprovechar un exploit para sacar partido de una vulnerabilidad de tipo zero-day en el navegador de Apple para ganar la competición de este año.

 

El co-fundador de VUPEN Chaoki Bekrar atacó al MacBook con Safari totalmente actualizado para hacer que a través de un sitio web especialmente configurado para sacar provecho del exploit se pudieran ejecutar todo tipo de tareas en el equipo víctima.

 

Como señalan en ZDNet se indica que la vulnerabilidad está presente en WebKit, y que costó dos semanas encontrar la vulnerabilidad e implementar un exploit funcional. Eso les permitió ganar los 15.000 dólares y el MacBook Air que se concedían al primero que lograse romper la seguridad de cualquiera de los navegadores puestos en escena para la competición.

 

Safari no ha sido el único en caer: Internet Explorer 8 cayó tras el ataque de Stephen Fewer, de Harmony Security. Para lograr aprovechar el exploit Fewer explicó que tuvo que sacar partido de tres vulnerabilidades distintas: dos para poder ejecutar código en el navegador, y una tercera para evitar el sandbox del modo protegido de Internet Explorer. Fewer tardó nada menos que seis semanas para lograr un ataque efectivo.

 

El único navegador que aún no ha caído ha sido Google Chrome, pero aquí han tenido que ver dos factores: uno, que el concursante que teóricamente se iba a presentar para demostrar su exploit finalmente no se ha presentado, y dos, que Google lanzó ayer una actualización en la que corrigió al menos 24 vulnerabilidades de distintos tipos.

 

Lo que queda claro es que el tiempo necesario para lograr exploits funcionales demuestra que sistemas de protección como DEP y ASLR son muy útiles: una cosa es encontrar vulnerabilidades en el navegador, y otra muy distinta es convertirlas en un ataque real que pueda tener éxito en sistemas actualizados. 

 

Ahora queda por ver si Firefox también logra resistir los ataques -hoy era el día en que se ponía a prueba el navegador de Mozilla- y también si los navegadores móviles pueden garantizar cierto nivel de seguridad.

 

2 comentarios
  • arag

    aguante firefox tu puedes xD

  • cazaazor

    Hola soy cazaazor, desde hace 4 años estoy con un experimento, para hacer muy seguro un Windows XP Home Edition del 2003 a los ataques de virus y troyanos.

    El sistema XP está modificado, este sistema es invulnerable a todos los ataques desde el 2007, este sistema carece de antivirus, firewall y actualizaciones, para probar su resistencia.

    Desde hace 6 meses llevo intentando que la Industria Informática responda a mis mensajes.

    He descubierto dos cosas una es el proceso que hace que mi sistema XP sea invulnerable, la otra es la forma de modificar el comportamiento de los sistemas de Microsoft.

    Nadie me cree, yo no tengo problema en demostrar que lo que digo es verdad.

    Solo por curiosidad deberían hacerme caso, porque podría ser cierto esto que digo.

    Muchas gracias.

Lo más leído