Logos de navegadores con letrero Pwned

Otro Pwn2Own que pasa, y de nuevo vuelven a hackear a todos los navegadores (totalmente parchados) con exóticas combinaciones de métodos que explotan vulnerabilidades hasta ahora desconocidas incluso por sus creadores, todo con miras a pasar por alto los mecanismos de seguridad y defensa de los navegadores modernos, principalmente para prevenir ejecución de código remota. Adicionalmente a los navegadores, también hackearon Adobe Reader y a uno que ya es un viejo cliente, Adobe Flash; la cuenta total quedó en 5 vulnerabilidades en Windows, 4 en Internet Explorer 11, 3 en Mozilla FireFox, Adobe Reader y Flash Player, 2 en Apple Safari y 1 en Google Chrome. Particularmente impresionante fue lo que hizo JungHoon Lee, un conocido investigador de seguridad y hacker de navegadores, que se inscribió solito al concurso, y solito hackeó Internet Explorer 11 y Google Chrome en Windows, y Safari en Mac OS X, ganando USD $225,000 como premio, así como las portátiles usadas para demostrar los hackeos. Vale la pena mencionar que sólo el bug de Chrome le valió USD $110,000. Y todo el solito.

Como siempre, no hay que ver estos resultados como algo necesariamente malo; primero que nada, estos exploits no son nada fáciles de replicar, y requieren profundo conocimiento de como funcionan sistema operativo y navegador; al final del día es algo bueno, pues todas las vulnerabilidades son dadas a conocer a sus respectivos fabricantes, y y a cada uno se encargará de implementar las medidas correctivas necesarias para corregir tales problemas, y como consecuencia final tendremos un navegador más seguro. La velocidad con la que cada fabricante parche sus navegadores ya es un tema diferente, y hasta donde tengo entendido, Mozilla es el los que más rápido se pone a trabajar en los fallos reportados.

Actualización 24/03/15: FireFox ya está parchado.  :-) 

[schema type=”event” evtype=”Event” url=”https://cansecwest.com/” name=”CanSecWest” description=”El Pwn2Own es un concurso que toma lugar cada año en las conferencias CanSecWest ofrecidas en Vancouver, Canada, es patrocinado por Hewlett-Packard y su progama Zero Day Initiative. El concurso pone a competir a investigadores de seguridad contra las últimas versiones de los cuatro navegadores principales en versiones de 64 bits, de modo que se puedan demostrar ataques que permitan ejecutar código remoto en los sistemas subyacentes.” sdate=”2015-03-18″ stime=”12:30 pm” edate=”2015-03-18″ country=”CA” ]