Firefox, Internet Explorer y Adobe vulnerados en concurso de ethical hacking

Esta semana se ha desarrollado el concurso Pwn2Own, en el que se repartieron $400.000 a algunos participantes que han logrado vulnerar aplicaciones tan populares como Internet Explorer, Safari, Mozilla Firefox y algunos productos de Adobe.

El grupo francés Vupen, conocido por comercializar las vulnerabilidades que han encontrado, se alzó con el premio más grande otorgado, unos $300.000 por lograr vulnerar Adobe Flash y Reader, además de los exploradores Mozilla Firefox e Internet Explorer. Tanto las brechas de Adobe como la de Firefox se lograron a través de ejecución de código, mientras que la perteneciente a IE resultó a través de un traspaso de sandbox, un objetivo bastante común entre los atacantes. Más allá de estos descubrimientos, una novedad es que Vupen ha hecho públicas las vulnerabilidades, algo que hasta hace poco tiempo atrás no hacía, afirmando que sus descubrimientos eran exclusivos para sus clientes.

Por su parte, Google llevó adelante un “hack” del navegador Safari de Apple, mientras que otros dos investigadores utilizaron una serie de vulnerabilidades para atacar Firefox. Una de estas falencias de Firefox permitió escalar privilegios dentro del navegador, mientras que otra se pudo utilizar para burlar las medidas de seguridad del navegador. Asimismo, el grupo Zero Day Initiative presentó un exploit multi-stage contra Internet Explorer, lo que le valió un premio compartido con Google de $82.500, que fueron donados a la Cruz Roja de Canadá.

El concurso proponía un desafío llamado “Exploit Unicorn” que consistía en vulnerar el Microsoft Windows Internet Explorer utilizando Windows 8.1 en una máquina de 64 bits y con la herramienta de Microsoft EMET (Enhanced Mitigation Experience Toolkit) encendida.

Es importante destacar que este concurso tiene como premisa el ethical hacking y uno de los organizadores afirmó: “Todas las vulnerabilidades fueron comunicadas a las respectivas empresas de manera privada, y cada uno trabajará en su resolución de acuerdo a sus propios procesos.”

Créditos imagen: coddogblog
 

Autor , ESET

Síguenos