rocky2007
Sabio del Foro
Internet Explorer 10, Chrome y Firefox, han sido hac.keados el primer día del concurso hac.ker Pwn2Own de la conferencia de seguridad CanSecWest 2013 que ha comenzado a celebrarse en la ciudad canadiense de Vancouver.
IE 10 ha sido hac.keado en Windows 8 por los investigadores de la firma VUPEN, saltando el espacio de memoria protegida (sandbox) y sus dos partes de seguridad (ASLR y DEP). De esta forma han ejecutado código sin que se caiga el navegador, superando todas las protecciones.
VUPEN también ha hac.keado Firefox, utilizando principios similares pero en un ataque menos complejo ya que el navegador web libre de Mozilla no tiene este tipo de sandbox. El ataque también utiliza un error de desbordamiento de Windows.
En cuanto a Chrome, también ha sido hac.keado en este caso por Labs MWR, utilizando una vulnerabilidad del kernel Windows en Windows 7 para elevar los privilegios y ejecutar comandos fuera del sandbox del navegador de Google.
No se han ofrecido demasiados detalles técnicos fuera de la conferencia ya que como sabes, todos los hac.ks se deben comunicar a las compañías. El concurso Pwn2Own está patrocinado por Hewlett Packard y Google, entre otros, cuenta con más de medio millón de dólares en premios y su objetivo es encontrar nuevas vulnerabilidades en los actuales navegadores web y plugins.
Via: muyseguridad
IE 10 ha sido hac.keado en Windows 8 por los investigadores de la firma VUPEN, saltando el espacio de memoria protegida (sandbox) y sus dos partes de seguridad (ASLR y DEP). De esta forma han ejecutado código sin que se caiga el navegador, superando todas las protecciones.
VUPEN también ha hac.keado Firefox, utilizando principios similares pero en un ataque menos complejo ya que el navegador web libre de Mozilla no tiene este tipo de sandbox. El ataque también utiliza un error de desbordamiento de Windows.
En cuanto a Chrome, también ha sido hac.keado en este caso por Labs MWR, utilizando una vulnerabilidad del kernel Windows en Windows 7 para elevar los privilegios y ejecutar comandos fuera del sandbox del navegador de Google.
No se han ofrecido demasiados detalles técnicos fuera de la conferencia ya que como sabes, todos los hac.ks se deben comunicar a las compañías. El concurso Pwn2Own está patrocinado por Hewlett Packard y Google, entre otros, cuenta con más de medio millón de dólares en premios y su objetivo es encontrar nuevas vulnerabilidades en los actuales navegadores web y plugins.
Via: muyseguridad
