Internet Explorer 9 y 10, K.O. en Pwn2Own 2012

Si bien ayer Google Chrome fue el primero en caer en el concurso Pwn2Own 2012 de la conferencia CanSecWest. Hoy os anunciamos que los últimos navegadores de Microsoft también han caído. Tanto Internet Explorer 9 como la versión de Internet Explorer 10 integrada en Windows 8 Consumer Preview.

Los investigadores VUPEN han utilizado dos exploits de tipo 0-day que provocan un desbordamiento de pila y un fallo de corrupción en la memoria que permite saltarse la seguridad del modo protegido de Internet Explorer.

El ataque de ejecución de código no requiere intervención del usuario más allá de la navegación a una página web fraudulenta. El ataque funciona en todas las versiones de Internet Explorer incluyendo la versión 10 en fase beta incluida en Windows 8.

VUPEN indicó que dos de sus investigadores habían estado trabajando seis semanas a tiempo completo en el exploit de IE9 para el Pwn2Own 2012, un concurso que sirve principalmente para aumentar la seguridad del software, ya que investigadores y hackers están obligados a facilitar toda la información al desarrollador para que las vulnerabilidades sean subsanadas.

De hecho, el mismo Google dice haber parcheado ya su navegador web contra los dos exploits 0-day utiizados por VUPEN para hackear el Chrome ayer.