Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 5935 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Receita Federal rastreia IP e MAC Address e intima 80 mil contribuintes

Publicado em: 20/04/2015 às 13:49 | leituras |

A Receita Federal intimou 80 mil pessoas físicas com indícios de infrações cometidas na Declaração de Ajuste Anual do ImpostoRenda da Pessoa Física (DIRPF). As investigações são relativas às declarações de 2012, 2013 e 2014 (ano-calendário 2011, 2012 e 2013).

Linux Magazine, Fuctura e IBM convidam você para o Congresso de Software Livre do NE

Publicado em: 19/04/2015 às 10:35 | leituras |

O CONSOLINE é um evento construído pela comunidade Pernambucana de Software Livre para divulgar, debater e fomentar Tecnologia Livre no estado.

Terceirização: Brasscom rejeita 'teto' e insiste em tributação sobre a receita

Publicado em: 17/04/2015 às 12:03 | leituras |

Com a Terceirização em debate na Câmara, o presidente da Brasscom, Sérgio Paulo Galindo em entrevista ao portal Convergência Digital, sustenta que o tema uniu patrões e empregados de TI e Telecom.

Globalweb Corp. avança em criptografia com solução 100% nacional

Publicado em: 16/04/2015 às 18:39 | leituras |

Manter o sigilo dos dados corporativos é missão estratégica para as companhias e a criptografia é a última fronteira da segurança, destaca o diretor comercial da Globalweb Corp., Marco Antônio Zanini. A empresa criou uma solução 100% nacional, homologada no ITI Brasil, para atuar no segmento.

Terceirização: Para advogado, "pejotização é fraude trabalhista e fiscal"

Publicado em: 15/04/2015 às 12:15 | leituras |

A mudança na lei da Terceirização, aprovada pelo PL 4330/04, na Câmara dos Deputados, na noite desta quarta-feira, 08/04, terá impacto no dia a dia das empresas de TIC.

IBM publica artigo sobre migração de aplicativos Linux de x86 para Power Systems

Publicado em: 14/04/2015 às 13:13 | leituras |

Migração de aplicativos Linux em x86 para IBM Power Systems: uma discussão das melhores práticas, detalha as recomendações da IBM para as melhores práticas na seleção e migração de cargas de trabalho do Linux em x86 e os aplicativos para os servidores Power Systems.

Lançado o Linux 4.0

Publicado em: 13/04/2015 às 14:56 | leituras |

No Linux 4.0 é possível aplicar correções no sistema sem reiniciar o sistema. Além disso, uma atualização de atributos de arquivos deve melhorar o desempenho do sistema de arquivos ext4.

Escanteado na TV aberta, Ginga escreve seu futuro no IPTV

Publicado em: 10/04/2015 às 16:09 | leituras |

Totalmente brasileira, é com o middleware desenvolvido no país a recomendação de interatividade na televisão sobre protocolo de Internet da União Internacional de Telecomunicações (UIT).

Ataques DDoS multiplicam e incidentes superam a casa de 1 milhão no Brasil

Publicado em: 06/04/2015 às 10:44 | leituras |

As notificações de incidentes de rede triplicaram no ano passado, com especial destaque para ataques de negação de serviço – que chegaram a 223.935 casos, ou 217 vezes maior do que o registrado um ano antes. No total, as notificações ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) somaram 1.047.031 em 2014.

Segurança cibernética: cadê os profissionais brasileiros?

Publicado em: 03/04/2015 às 14:33 | leituras |

Embora o mercado esteja bastante desafiador neste primeiro trimestre de 2015, sobram ofertas de empregos para profissionais que reúnem habilidades mais difíceis de serem encontradas no mercado.

Quase metade das empresas terão operação em nuvem até o final do ano

Publicado em: 17/03/2015 às 16:30 | leituras |

A Computação em nuvem está evoluindo rapidamente no Brasil, com 41% das empresas já investindo em algum modelo e 42% das empresas brasileiras pretendendo investir até o final de 2015. Desse último grupo, 25% das empresas estarão investindo pela primeira vez.

CPqD é credenciado para testar tecnologias embarcadas em ônibus da capital paulista

Publicado em: 16/03/2015 às 16:29 | leituras |

O CPqD foi o primeiro laboratório a se credenciar como organismo de testes, de certificação e de inspeção de tecnologias embarcadas para as frotas de ônibus da cidade de São Paulo.

Entrega de código-fonte gera impasse entre empresas e governo

Publicado em: 15/03/2015 às 16:47 | leituras |

Apesar do clima amistoso, terminou em impasse a audiência pública para discutir a auditoria em programas e equipamentos para os serviços de Tecnologia da Informação e Comunicações (TIC), fornecidos aos órgãos do governo federal, em Brasília.

Neutralidade e dados pessoais dominam consulta sobre Marco Civil

Publicado em: 04/03/2015 às 15:38 | leituras |

A neutralidade de rede foi o tema que mais provocou comentários na consulta pública que o Comitê Gestor da Internet no Brasil realizou para preparar seu posicionamento sobre a regulamentação da Lei 12.965/14, o Marco Civil da Internet.

CPqD reúne setor para debater internet das coisas

Publicado em: 03/03/2015 às 14:52 | leituras |

A internet das coisas - e seus desafios, tendências, tecnologias e aplicações - será o foco de uma série de seis apresentações técnicas, via web, que o CPqD vai oferecer a partir deste mês de março.

Novas leis de direitos autorais podem deixar serviços de streaming mais caros

Publicado em: 11/02/2015 às 16:11 | leituras |

O objetivo seria aumentar os pagamentos e compensações aos artistas e proprietários das faixas, uma medida que, no final das contas, deve encarecer os preços das assinaturas.

Falta maturidade e apenas 10% das empresas brasileiras adotam big data

Publicado em: 11/02/2015 às 12:44 | leituras |

O mercado brasileiro de big data analytics ainda não está maduro e, por conta disso, são poucas as empresas que investiram nessas soluções e já mensuram os resultados.

Marco Civil: Quem tem a real obrigação da guarda dos logs?

Publicado em: 10/02/2015 às 11:05 | leituras |

Na regulamentação do Marco Civil da Internet, além da neutralidade de rede, a guarda de registro de logs e a privacidade na web são outros tópicos que devem render muita discussão.

Facebook, Google, LinkedIn e Twitter abrem vagas no Brasil

Publicado em: 09/02/2015 às 14:21 | leituras |

Quem tem o sonho de trabalhar nas maiores empresas de internet do mundo, já pode começar a atualizar o currículo, pois Facebook, Google, LinkedIn e Twitter estão com vagas abertas aqui no Brasil.

Gartner prevê queda nos investimentos em Tecnologia da Informação em 2015

Publicado em: 09/02/2015 às 10:02 | leituras |

De acordo com a última previsão realizada pelo Gartner, os investimentos no setor de Tecnologia de Informação deverão crescer 2,4% em todo o mundo. De acordo com a projeção, o mercado de TI receberá cerca de US$ 2,8 trilhões em 2015.

Prefeitura de SP prepara licitação para Fab Labs, centros de fomento à computaç&

Publicado em: 05/02/2015 às 12:35 | leituras |

A prefeitura de São Paulo está preparando edital para licitar 12 Fab Labs ou laboratórios de fabricação, que são oficinas equipadas para fomentar o desenvolvimento de produtos tecnológicos do inglês.

Governo abre consulta pública para discutir licença de software livre

Publicado em: 04/02/2015 às 11:14 | leituras |

O Ministério do Planejamento abriu nesta terça-feira, 03/02, consulta pública sobre as licenças de software livres a serem aceitas pelo Portal do Software Público Brasileiro, o SPB.

Data centers e serviços na nuvem são os alvos principais dos ataques DDoS

Publicado em: 28/01/2015 às 16:08 | leituras |

O 10º Relatório Global de Segurança de Infraestrutura (WISR – World Infrastructure Security Report) da Arbor Networks constata que os ataques DDoS (negação de serviço) são cada vez mais uma ameaça séria à continuidade do negócio e às operações das organizações.

Lei de Dados Abertos: proposta endurece a atual Lei de Acesso à Informação

Publicado em: 28/01/2015 às 11:49 | leituras |

A Câmara dos Deputados analisa proposta que cria a Lei de Dados Abertos, para garantir o acesso público a todos os dados primários produzidos, coletados ou armazenados por órgãos da administração pública, direta e indireta, nas esferas municipal, estadual e federal.

Por big data, Microsoft vai às compras em open source

Publicado em: 27/01/2015 às 13:23 | leituras |

Por negócios em biga data, a Microsoft foi às compras no mundo open source. A empresa anunciou nesta sexta-feira, 23/01, a aquisição da Revolution Analytics, provedora de ferramentas de código aberto (open source) focadas na linguagem "R".


Mais notícias


lançamento!

LM 118 | RaspberryPi no mundo real




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 242454 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 135454 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 120640 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 113706 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 90469 leituras

  1. Snort com melhor suporte à análise de protocolos

    Publicado em 30/08/2011 às 9:26 | 7846 leituras

  1. IBM abre inscrições para programa de cidades inteligentes

    Publicado em 16/10/2013 às 9:17 | 3709 leituras

  1. ASUS trará tablet com Android para o Brasil

    Publicado em 04/07/2011 às 18:10 | 9623 leituras

  1. Sonar 3.0 ajuda a manter seu código limpo

    Publicado em 19/04/2012 às 17:10 | 8811 leituras

  1. Lançamento de Ping estremece relação entre Apple e Facebook

    Publicado em 06/09/2010 às 11:28 | 4801 leituras

whitepapers

mais whitepapers