Pwn2Own: el grupo Vupen logra hackear a Chrome e IE9

Vupen IE9

El concurso Pwn2Own -que se lleva a cabo durante la conferencia CamSecWest de Vancouver- es uno de los eventos más importantes en cuanto a la seguridad, y de fijo es uno de los que más atención logra por parte de los medios. Y este año se ha dado algo que en años anteriores hubiera sido impensado, y es que luego de tres ediciones en las cuales Google Chrome resistió firmemente y en pie los embates, este año ha sido el primero en caer.

Los encargados de conseguir esta situación bastante sorpresiva en el día de ayer han sido los de un grupo de hackers franceses llamado Vupen, a quienes apenas les ha tomado 5 minutos vulnerar las defensas del navegador de Google en su versión para Windows.

Para hacerlo se han valido de un exploit zero day en el cual han estado trabajando desde mayo pasado, gracias al cual han podido esquivar sin problema alguno la tecnología de prevención de ejecución de datos (DEP) y la encargada de aleatorizar las direcciones de memoria (ASLR). Luego se han encargado del sandboxing, deshabilitándolo y tirando abajo uno de los mitos de la seguridad de Chrome, y aunque un equipo de ingenieros de Google se han apurado en lanzar un parche para solucionar el iconveniente, ya el daño a la reputación de invencible de su navegador está hecho (aunque por cierto habla bien que se hayan preocupado por solucionarlo tan rápidamente).

Pero ni remotamente vayamos a pensar que Chrome sería el único navegador en caer, puesto que hoy le ha tocado el turno a Internet Explorer 9 y 10 beta (el que viene en la Consumer Preview de Windows 8). Y quien ha tumbado al navegador de Microsoft ha sido el mismo grupo Vupen, quienes se han valido en este caso de dos exploits de zero day (uno genera un desbordamiento de pila y otro un error de memoria).

Así pues, un buen dinero se han de haber llevado los hackers puesto que como ya sabemos en esta edición de Pwn2Own los premios han aumentado, y al margen de lo que ofrezcan los organizadores también sabemos que Google ofrece 20.000 euros a quienes encuentren fallas en Google Chrome (y vaya que las han encontrado).

Ahora sólo resta ver que sucede con Firefox y con los smartphones, que este año serán puestos a prueba por primera vez.

Via ZDNET

Valora esta noticia: 1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (0 votos, media: 0,00 de 5)
Loading ... Loading ...