PWN2OWN: Hackers arrasam com todos os browsers

Parece que a segurança dos browsers ficou por terra. Investigadores que participaram na última competição de hacking “Pwn2Own” apresentaram exploits de execução remota de código contra os top 4 browsers da Internet. Também penetraram com sucesso o leitor de pdf’s Adobe Reader e o famoso Adobe Flash Player.

Na quinta-feira, o investigador de segurança informática, e já conhecido em segurança de browsers, Sul Coreano Jung Hoon Lee, conhecido online como “lokihardt”, sozinho conseguiu este feito no Internet Explorer 11 e no Google Chrome em ambientes Microsoft Windows, e ainda o Safari em ambientes Mac OSX. O hacker saiu da competição com $225.000 USD em prémios, não incluindo o valor dos portáteis novinhos em que os exploits são testados, que também são levados pelos hackers para casa como prémios.

A competição Pwn2Own toma lugar todos os anos na conferência de segurança da CanSecWest em Vancouver no Canadá, é patrocinado pela “Hewlett-Packard’s Zero Day Iniciative Program”. O concurso desafia investigadores e hackers contra as últimas plataformas 64bits de todos os top browsers do momento para demonstrar ataques que podem conduzir a comandos remotamente executados.

Os ataques de Lee contra o Google Chrome conseguiram-lhe a maior quantia já paga por um único exploit na história da comeptição: $75.000 pelo bug do Chrome, $25.000 extras por um outro bug por “system privilege escalation” e mais $10.000 por um outro por atingir a versão beta do Chrome, para um total de $110.000. O exploit contra o IE11 coneguiram-lhe outros $65.000 e do Safari $50.000.

“O feito de Lee é particularmente incrível, pois ele competiu sozinho ao contrário de outros participantes que fizeram equipas e participaram em conjunto.” – comentário da equipa de segurança da HP num artigo do blog.

Todos os ataques foram feitos em máquinas atualizadas com as mais recentes versões dos softwares, com todas as barreiras que um computador normal teria no mundo real. E requereu que vários tipos de hacking fossem postos em funcionamento em sintonia para atingirem todos os objetivos principais. No final das contas contando com todos os participantes, estas foram as falhas registadas presentes nos ataques demonstrados:

  • Windows OS: 5
  • Internet Explorer 11: 4
  • Mozilla Firefox: 3
  • Adobe Reader/Flash Player: 3
  • Apple Safari: 2
  • Google Chrome: 1

Todas as vulnerabilidades foram reportadas às respetivas empresas como parte das regras do concurso.

Compra aqui a tua VPN
Partilhe no Facebook

Sobre o autor

Rawstring
Há coisas bem melhores que ficar no computador.. Tal como ficar na cama com teclado e rato wireless.. :)
Floating Widgets