Las vulnerabilidades de seguridad en cada uno de los cuatro grandes navegadores web fueron explotadas en el concurso de hacking Pwn2Own el viernes para ejecutar remotamente código arbitrario en PC con Windows.
Firefox, Safari, Chrome e Internet Explorer todos cayeron a las habilidades de los participantes de la competencia, algunos en menos de un segundo.
Todas las vulnerabilidades explotadas serán reveladas en privado a los fabricantes de software afectados para que parches puedan ser liberados. Los detalles son deliberadamente vagos por el interés de la fuente responsable.
Un hombre va a dejar Vancouver con una enorme sonrisa en su rostro y un saldo bancario muy saludable, lo suficiente para ayudar a cambiarse a una casa mejor. El investigador de seguridad Jung Hoon Lee de Corea del Sur, que utiliza el apodo "lokihardt," recogió $225,000 (y las laptops comprometidas) después de una pelea épica de intrusión.
En primer lugar Lee martilló un Internet Explorer 11 de 64 bits con un vulnerabilidad tiempo-de-comprobar contra un tiempo-de-uso (TOCTOU) y un escape de caja de arena a través de la inyección privilegiada JavaScript para conseguir ir más allá de del software de seguridad de Windows y obtener una ejecución remota de código de mediana integridad (con los mismos privilegios que el usuario que ha inició sesión). Eso le dió $65,000 por la hazaña.
Luego comprometió las versiones estables y beta de Google Chrome al explotar un error de desbordamiento de búfer en una condición de carrera para llegar al sistema operativo Windows, donde utilizó un bug de fuga de información y una condición de carrera en dos controladores del núcleo para realizar a nivel de sistema completo la ejecución de código remoto.
El hacker ganó $75,000 por el bug de Chrome, y un extra de $25,000 por la escalada de privilegios en SYSTEM, y un bono de $10,000 de Google por el craqueo de su versión beta del navegador, todo en dos minutos. Eso es una escala salarial de $ 916 por segundo.
Para el final, Lee clavó a Safari de Apple con un uso-después-libre (UAF) la vulnerabilidad que implica un puntero de pila sin inicializar, y pasa por alto la caja de arena para llevar a cabo la ejecución remota de código en un Mac OS X. Esto le ganó un bono de $50,000, con lo que sus ingresos llegaron a $225,000 por el día.
Pero el demonio de la velocidad del concurso fue un hacker usando el nombre ilxu1a, que logró poner en peligro de forma remota el Firefox de Mozilla en menos de un segundo. Había descubierto una vulnerabilidad de análisis estático, en lugar de fuzzing, y utilizó una vulnerabilidad fuera de los límites de lectura/escritura que llevó a la ejecución de código de mediana integridad en el navegador, y un premio de $15,000.
Mientras que los hackers estaran contentos con los dos últimos días, los fabricantes de navegadores y clientes van a estar menos satisfechos. Pero es uno de los puntos fuertes de competencias como Pwn2Own que los desarrolladores puedan ganar dinero decente por encontrar estos defectos, y el resto de nosotros ahorrar un montón de dinero por conseguir solucionar los posibles problemas antes de que otros descubren los errores de seguridad.
