CanSecWest 2015: todos los navegadores hackeados
Los principales navegadores web del mercado han sido hackeados en la conferencia de seguridad CanSecWest 2015 que se está celebrando en Vancouver, patrocinada por la iniciativa HP Zero Day y el Project Zero de Google.
Si el primer día del concurso cayeron Internet Explorer y Firefox hoy le ha tocado al Chrome de Google y de nuevo a Internet Explorer 11, además de los habituales Adobe Flash y Reader, que fueron hackeados por partida triple, confirmando sus múltiples vulnerabilidades de explotación.
El grupo chino Keen Team que el pasado año superó Safari y Flash, ha vuelto a superar al plug-in de Adobe en un sistema Windows de 64 bits utilizando una vulnerabilidad de desbordamiento de pila y otra de elevación local de privilegios en el kernel, a través de fuentes TrueType para eludir sus medidas defensivas. Han ganado 85.000 dólares en un hackeo a Flash que duró 30 segundos.
Mariusz Mlynski, un investigador de seguridad polaco que el pasado año utilizó dos vulnerabilidades para obtener una escalada de privilegios en Firefox 27, de nuevo se encargó del navegador de Mozilla, explotó un bug para escalar privilegios y hackear el navegador en 0,542 segundos. Ha ganado 55.000 dólares.
Nicolas Jolly (ex del conocido grupo Vupen) ganó 30.000 dólares por otro hack a Flash superando el sandbox. También hackeó por partida triple a Reader. Suma 90.000 dólares en premios.
Con todo, el gran triunfador hasta ahora de la competición ha sido el surcoreano Junghoon Lee del grupo 360Vulcan Team. Rompió una versión de 64 bits de Internet Explorer 11 con una vulnerabilidad de la memoria para ganar 32.500 dólares y más de 100.000 dólares por hackear Chrome, con pluses por obtener privilegios del sistema atacado y por demostrar una vulnerabilidad en una versión beta del navegador.
No hay software que se resista a estos superespecialistas en hacking que contrariamente a lo que piensa el público en general son una bendición para las compañías ya que ayudan a mejorar la seguridad del software.
por Juan Ranchal – 20 de marzo, 2015
Fuente: http://muyseguridad.net/
Fecha de consulta: 23 Marzo 2015