Hackers conseguiram com sucesso comprometer a segurança do Safari e Internet Explorer durante o primeiro dia do Pwn2Own. O evento começou ontem às 15:30, e um grupo da empresa de segurança francesa Vupen conseguiu explorar o Safari 5 rodando em um MacBook Air em somente 5 segundos, apesar da Apple lançar uma correção de última hora (versão 5.0.4) para impedir os concorrentes de utilizarem bugs conhecidos. Além de ganhar o MacBook Air, a equipe ganhou 15 mil dólares pelo feito.
A Microsoft por sua vez não lançou uma atualização Internet Explorer 8 antes da Pwn2Own, possivelmente porque está fora do tradicional ciclo de correções da empresa. O IE8 também cedeu ao primeiro ataque, de Stephen Fewer da Harmon Security. Stephen usou três vulnerabilidades separadas para escapar do modo protegido e passar pelo ASLR e DEP no Windows 7, fato que o organizador do evento, Aaron Portnoy, não tinha visto antes da Pwn2Own. Stephen levou 15 mil dólares e o sistema que usou.
Apesar do Google oferecer 20 mil dólares, ninguém sequer tentou invadir o Chrome. Apenas duas equipes registraram para o Chrome, mas a primeira não teve exibições e a segunda acabou se focando no BlackBerry. O prêmio de 20 mil é apenas para o primeiro dia do evento, mas alguém pode ganhar 10 mil se conseguir explorar alguma vulnerabilidade do navegador até dia 11 de março. Hackers tentarão entre hoje e amanhã o Firefox e várias versões mobile de navegadores.
Em nota, a Microsoft afirmou que o Internet Explorer 9 RC não é afetado pelas vulnerabilidades exploradas no evento.
Veja também
Sobre o Autor
Deixe seu comentário