Safari e IE8 são invadidos durante competição

SÃO PAULO – Duas versões corrigidas do navegadores Safari e Internet Explorer 8 foram atacadas durante a competição hacker anual Pwn2own 2011.

A competição faz parte da conferência de segurança CanSecWest e instiga os hackers a executar códigos arbitrários a partir de vulnerabilidades encontradas nos principais navegadores, além de escapar de sandboxes impostas (ambientes restritos com limitado acesso a dados e sistemas).

Os hackers conseguiram ultrapassar as chaves de proteção DEP e ASLR, que são mecanismos embutidos nas novas versões do Windows e dos sistemas Mac.

O primeiro a cair foi o browser Safari 5.0.3, rodando em um sistema Mac OS X 10.6.6. A empresa de segurança francesa VUPEN foi a responsável por conseguir atacar o navegador em apenas cinco segundos visitando uma página com código malicioso. Mas processar o exploit a equipe levou duas semanas.

Em seguida foi a vez do IE8, rodando em um sistema Windows 7 Service Pack 1 64-bit. O pesquisador irlandês Stephen Fewer utilizou dois bugs zero-day diferentes no IE para obter o código de execução e então explorou uma terceira vulnerabilidade para escapar do modo de proteção do IE. Após 6 semanas Fewer conseguiu desenvolver o exploit para essas falhas.

Em ambos os casos, os hackers conseguiram executar o programa da calculadora e escrever um arquivo no disco rígido – ações que faziam parte das regras da competição. De acordo com as regras da competição, nenhuma das técnicas e falhas podem ser detalhadas até que as empresas liberem os pacotes de correção.

Os navegadores Opera e Firefox não tiveram vulnerabilidades divulgadas. Já o Google Chrome teve falhas similares encontradas, porém não foram detalhadas.

Como prêmio, os pesquisadores receberam quantias em dinheiro e também puderam levar os hardwares utilizados durante a competição.

• falhas todo e qualquer software tem e sempre terá. porem ate o presente momento os únicos browsers onde os hackers conseguiram invadir a maquina e executar os comando necessários (executar uma aplicação local, escrever arquivo no HD) foram o Safari e o IE8 (IE9 não foi lançado ainda é RC entao nao entrou no páreo assim como o Fx4. Sobre atualizações tanto o Google qnt a Apple lançaram atualizações dos seus programas pouco antes do inicio da competição, porem o da Apple continuou vulnerável mesmo com as correções em cima da hora. O Google vai pagar US$20.000,00 ao hacker q invadir o Chrome e ate o presente momento esse dindim continua na conta do Google.

  Teo Venier • 11/03/2011 - 18:31
• "Os navegadores Opera e Firefox não tiveram vulnerabilidades" eu discordo do Chrome. O Firefox sempre foi o melhor, mt mais rápido (em processamento de dados e abas), mais inteligente, mais suave, tem mt mais opções... E pra quem usa o 4 também é bem rápido.

  Gabriel Cabral Anderson • 11/03/2011 - 12:08
• Gustavo carvalho reis: como não ? olha na propia materia o que diz: Já o Google Chrome teve falhas similares encontradas, porém não foram detalhadas.

  Lucas Otávio • 10/03/2011 - 20:58
• Google paga para encontrarem falhas no Chrome antes de concurso hacker 18 falhas de alto risco são encontradas, Google lança correção minutos antes do concurso http://www.zdnet.com/blog/security/google-chrome-gets-last-minute-bandaid-befo re-pwn2own/8334?tag=mantle_skin;content

  Wallace • 10/03/2011 - 19:10
• Segundo a ArsTechnica, o Chrome não teve vulnerabilidades descobertas. Ao contrário do que está acima, o aplicativo da Google não foi invadido, repetindo o desempenho do ano passado, quando também passou ileso ao ataque dos crackers. Aliás, ele se mostra de longe o browser mais seguro e atualizado entre todas as opções existentes.

  Gustavo de Carvalho Reis • 10/03/2011 - 18:28
• Amanhã serão testados os smartphones. Vamos ver como vai se sair cada um. Lembrando que WP7 está no bolo.

  Wallace • 10/03/2011 - 17:14
• Impressionante como o Safari é o primeiro a ser invadido, nessa competição, todo ano...

  Renato Teles • 10/03/2011 - 16:26

comentar