Primeros caídos en el Pwn2Own: Safari y Explorer


Era de esperar que IE fuera uno de los primero en caer, los blog y sitios de seguridad han hecho eco de la reseña. Aún cuando Apple antes del evento parcheo su navegador Safari resolviendo 62 vulnerabilidades no pudo contra los gurús involucrados en el Pwn20wn.





Pwn2Own, es uno de los retos hackers mas destacado. Un equipo de la firma francesa de seguridad Vupen se acuño 15.000 US$ y un nuevo MacBook Air, tras haber explotado una vulnerabilidad no solucionada en el navegador de Apple - Safari.

Peter Vreugdenhil, de TippingPoint (empresa de seguridad patrocinante de Pwn2Own), indicó que los investigadores han estado trabajando con versiones de los navegadores de hace 15 días (Safari, Chrome 9, IE8 y Firefox 3.6) para darle opción de hacer pruebas suficientes.

los navegadores objetivo son Internet Explorer, Mozilla Firefox, Safari y Google Chrome, que deberán estar instalados en un sistema MS-Windows 7 de 64 bits o bien en un Mac OS X de 64 bits

El primer navegador en ser "hackeado" fue Safari de Apple, ejecutándose bajo un Apple MacBook Air 13″ con la última versión de Mac OS X de 64 bits, donde fue posible ejecutar la calculadora y escribir un fichero en disco desde el navegador, cinco segundos después de visitar una página web especialmente diseñada, y además sin colgar el navegador. De esta forma, el exploit se saltó los sistemas de seguridad ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) incluidos en Mac OS X.

Bekrar de la firma Vupen, afirma que existen muchas vulnerabilidades en el motor JavaScript de código abierto Webkit.

Por su parte IE igual cayó, en manos de Stephen Fewer, investigador de seguridad irlandés, fue capaz de "hackear" Internet Explorer 8 (IE() bajo un sistema MS-Windows 7 SP1 de 64 bits. Donde utilizó dos vulnerabilidades de seguridad zero-day de Internet Explorer para ejecutar código remoto y encadenó una tercera vulnerabilidad para salir de la sandbox del modo protegido de Internet Explorer.

Este exploit también fue capaz de saltarse los sistemas de seguridad DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization).

Otros enlaces:

http://dvlabs.tippingpoint.com/

http://www.zdnet.com/blog/security/



Otras noticias de interés:

Desbordamiento de búfer en el convertidor HTML de Windows
Existe un fallo en la forma en que el convertidor HTML para Windows trata una petición de conversión durante una operación de copiar y pegar. Una petición especialmente creada al convertidor HTML puede provocar el fallo de la utilidad, de forma q...
Commodore resucita de la mano de Tulip Computers
Tulip Computers, propietario de la marca Commodore, planea relanzar la marca para tomar ventaja en el mercado, buscando el resurgimiento del interés sobre el obsoleto ordenador Commodore 64 (C64). ...
OCNix, la distro para overclockers
El mundo del overclocking es uno de los que más pasión aglutina entre sus componentes: los overclockers no paran de invertir tiempo (y mucho dinero también) en lograr sacar el máximo partido de sus componentes, y demuestran cómo se puede llegar ...
Certificados digitales
Después del robo de los certificados digitales a DigiNotar y ver cómo se han comprometido los certificados de Mozilla, Google, Tor, WordPress o la mismísima CIA, el contexto es el adecuado a que dediquemos un momento a hablar de los certificados d...
Gartner recomienda a las empresas instalar firewalls personales
La consultora Gartner ha aconsejado instalar firewalls personales en, al menos, todos los portátiles corporativos e idealmente en todos los ordenadores de las empresas. ...
Nueva amenaza para usuarios que no se actualizan
Se ha publicado un exploit para una vulnerabilidad en Microsoft Internet Explorer, que permite la ejecución de código en la computadora de la víctima que no tenga sus actualizaciones al día. ...
Un software localiza portátiles robados sin comprometer la privacidad
A diferencia de otros sistemas, rastrea la posición del ordenador, pero no de su dueño. Informáticos de las universidades de Washington y California han desarrollado un software que permite localizar ordenadores portátiles robados sin comprometer...
Elevación de privilegios en #Apache
Se ha publicado a través de la página web halfdog.net una vulnerabilidad que afectaría a todas las versiones de Apache hasta la versión 2.2.20 y que permitiría elevar privilegios a un atacante con cuenta en la máquina....
VNC Exploit
Hace poco salio una vulnerabilidad en el protocolo VNC, más exactamente la distribucion llamada REAL (RealVNC) que es una de las mas distribuidas....
VPN o Redes Privadas Virtuales (Parte II)
Beneficios de una VPN Actualmente, las VPNs pueden aportar grandes beneficios a las empresas, por la diversidad de servicios que ofrecen y que ayudan a fortalecer los objetivos del negocio. Una estrategia de VPN debe estar basada en fun...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • caidos
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • own
  • pgp
  • php
  • primeros
  • pwn
  • sabayon
  • safari
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra