Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 6445 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

As novidades do Android 6.0 Marshmallow

Publicado em: 25/08/2015 às 12:24 | leituras |

Será que as novidades serão tão saborosas quanto um Marshmallow?

LPI e SUSE reforçam parceria para certificação profissional Linux no Brasil

Publicado em: 05/08/2015 às 22:13 | leituras |

Todos os candidatos que obtiveram a certificação LPIC-1 podem solicitar junto à SUSE a certificação CLA, sem a necessidade de prestar novos exames ou o pagamento de taxas.

Vale-Refeição será obrigatório nas empresas de TI em São Paulo

Publicado em: 01/08/2015 às 12:20 | leituras |

Essa medida foi condição determinante para a conciliação entre o Sindpd, sindicato dos trabalhadores de São Paulo e o Seprosp, sindicato das empresas patronais, no dissídio salarial de 2015.

Data center abre 40 vagas em São Paulo, Tamboré e Rio de Janeiro

Publicado em: 24/07/2015 às 12:25 | leituras |

Para graduados, as oportunidades são para as áreas de Suporte Técnico, Segurança da Informação, Comercial, Infraestrutura, Manutenção Predial, Desenvolvimento e Operações de Data Center.

Os 5 melhores sistemas de chat open source para atendimento ao cliente

Publicado em: 23/07/2015 às 12:54 | leituras |

O uso dos chats como forma de atendimento ao cliente passou a ser adotado em maior escala no momento em que os usuários passaram a preferir um atendimento personalizado online, desde que a resposta fosse mais rápida do que os tediosos atendimentos telefônicos.

Maior supercomputador da América Latina é instalado no Rio de Janeiro

Publicado em: 22/07/2015 às 16:27 | leituras |

Com a capacidade de realizar 1,1 quatrilhão de operações matemáticas por segundo, o maior computador da América Latina foi instalado no Laboratório Nacional de Computação Científica (LNCC), em Petrópolis, Rio de Janeiro.

Falha em sistema da Chrysler deixa mais de 470 mil carros vulneráveis a hackers

Publicado em: 22/07/2015 às 14:16 | leituras |

Especialistas em segurança analisaram o sistema utilizado em seus modelos e detectaram falhas que podem afetar mais de 471 mil veículos de maneira bem séria.

Supercomputador já é usado para megaprojetos de análise de dados em SP

Publicado em: 15/07/2015 às 15:56 | leituras |

Adquirido ao custo de R$ 4,5 milhões, o sistema computacional para processamento científico de alto desempenho é o mais rápido instalado em universidades no Estado de São Paulo, de acordo com os coordenadores do projeto.

Complete gratuitamente sua coleção da Linux Magazine até 31/07!

Publicado em: 15/07/2015 às 11:20 | leituras |

Promoção válida para os primeiros 50 assinantes e ex-assinantes digitais ou leitores que já tenham comprado pelo menos um exemplar digital. A PROMOÇÃO FOI ESTENDIDA ATÉ 31/07/2015! APROVEITE ANTES QUE ACABE!!!

Vulnerabilidades fazem Mozilla bloquear de vez o uso do Flash

Publicado em: 14/07/2015 às 11:58 | leituras |

Mark Schmidt, diretor de suporte da empresa, declarou que agora o Firefox bloqueará por padrão todas as versões do Flash.

Cibercriminosos brasileiros usam Trojan para dar golpe com WhatsApp

Publicado em: 08/07/2015 às 8:01 | leituras |

Os cibercriminosos criam sites falsos que dizem levar à instalação do aplicativo, mas levam à instalação de código malicioso.

Microsoft pode abandonar Windows Phone para apostar no Android

Publicado em: 01/07/2015 às 16:24 | leituras |

Um rumor, no mínimo estranho, pode ser capaz de mudar o panorama do mercado mobile caso se torne realidade. De acordo com os boatos surgidos nesta terça-feira (30), a Microsoft estaria se preparando para abandonar o Windows Phone e apostar no Android para o futuro de seu ecossistema de smartphones.

Cisco compra OpenDNS por US$ 635 milhões

Publicado em: 01/07/2015 às 11:56 | leituras |

Em um negócio que custou US$ 635 milhões, o serviço passa agora a fazer parte do portfólio de soluções da empresa especializada em redes, com foco, principalmente, nas soluções de segurança.

Morre Matti Makkonen, o pai do SMS

Publicado em: 30/06/2015 às 16:18 | leituras |

Muitas pessoas podem não conhecer o nome Matti Makkonen, mas praticamente todos já usaram uma de suas criações. Conhecido mundialmente como o "pai do SMS", Makkonen faleceu aos 63 anos de idade em decorrência de uma doença não divulgada.

Uma CEO mulher assume o comando da Microsoft Brasil

Publicado em: 29/06/2015 às 12:01 | leituras |

Paula Bellizia, que de 2002 a 2012 trabalhou na própria Microsoft, foi nomeada presidente da Microsoft Brasil a partir do próximo dia 1º de julho. Paula substitui Mariano de Beer, que assumirá uma nova posição na companhia, como presidente da subsidiária Novos Mercados América Latina, que envolve vários países na região.

Minicom rascunha Lei de Universalização da Banda Larga em regime público

Publicado em: 26/06/2015 às 13:05 | leituras |

Ao contrário da Anatel, que defende abertamente o fim das concessões de telefonia e a transição para um modelo de regulação mais leve, o Ministério das Comunicações avalia uma mudança na Lei Geral de Telecomunicações que permitiria incluir a oferta de banda larga nos contratos.

Quer trabalhar em TI? Saiba quais são os salários médios

Publicado em: 25/06/2015 às 16:08 | leituras |

Apesar da retração econômica, o setor de Tecnologia segue com salários atraentes no Brasil. Levantamento feito pela Catho, revela que, excluindo o cargo de Diretor, o maior ganho médio mensal no Brasil é o de Gerente de TI -R$ 7.610,50.

Velocidade da internet cresce 13% no 1º trimestre

Publicado em: 24/06/2015 às 16:14 | leituras |

Uma pesquisa global sobre a internet em 144 países/regiões, entre janeiro e março deste ano, revelou que a velocidade de conexão média no Brasil é de 3,4 Mbps, crescimento de 13% em relação ao trimestre anterior.

CPqD terá de aceitar mudanças para não fechar as portas

Publicado em: 10/06/2015 às 12:47 | leituras |

A saída de Hélio Graciosa; a injeção de recursos pelo governo e a intempestiva nomeação do novo presidente, Sebastião Sahão Junior, não encerram a novela da crise política aberta entre o governo e a fundação, nem resolverão os problemas estruturais da entidade após seus 38 anos de existência.

WhatsApp chega à justiça trabalhista no Brasil

Publicado em: 08/06/2015 às 11:45 | leituras |

A Justiça do Trabalho da 15ª Região (Campinas-SP) usou o OTT para promover um acordo de conciliação entre um trabalhador e uma empresa.

Facebook monta estratégia para quebrar resistência das teles ao Internet.org

Publicado em: 05/06/2015 às 12:43 | leituras |

O debate sobre a regulamentação do Marco Civil da Internet está, neste momento, bastante concentrado nos modelos de acesso gratuito – ou ‘zero rating'. A incerteza sobre a legalidade desse tipo de acesso, aliada às críticas ao projeto do Facebook nessa área parece deixar as teles no Brasil bastante cautelosas.

Tráfego em IPv6 chega a 2% no Brasil

Publicado em: 03/06/2015 às 14:41 | leituras |

O percentual ainda é pequeno, mas o ritmo é animador. Neste mês de junho o tráfego internet no Brasil chegou à marca de 2% em IPv6 – a nova versão do protocolo de Internet, que é a forma como todos os equipamentos conectados à rede mundial são reconhecidos.

Raspberry Pi destrava Playstation 4

Publicado em: 19/05/2015 às 15:52 | leituras |

Técnica de destravamnto do Playstation 4 já é utilizada por assistências técnicas brasileiras para desbloquear console.

Terceirização: Presidente do TST diz que do jeito que está, juízes terão 'm

Publicado em: 18/05/2015 às 15:04 | leituras |

O presidente do Tribunal Superior do Trabalho (TST), Antônio José de Barros Levenhagen, sustentou nesta segunda-feira, 18/05, que, se convertido em lei na forma como foi aprovado pela Câmara dos Deputados, o projeto que propõe novas regras para a terceirização aumentará o número de ações trabalhistas e, ao contrário do que tem sido dito por alguns de seus defensores, “não dará segurança jurídica às empresas”.

Lei de Acesso à Informação não 'pegou' no Brasil

Publicado em: 18/05/2015 às 10:38 | leituras |

Um levantamento feito pela Controladoria-Geral da União (CGU) aponta que 63% das cidades e dois estados tiraram nota zero em transparência pública. Esse é o resultado de um índice lançado pelo órgão nesta sexta-feira, 15/05, para lembrar os três anos de vigência da Lei de Acesso à Informação (LAI).


Mais notícias


lançamento!

LM 119 | Backup e Restauração




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 340230 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 142569 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 126553 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 119275 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 95345 leituras

  1. Regras mais estritas no Google Play

    Publicado em 06/08/2012 às 15:09 | 5313 leituras

  1. Console de jogo aberto OUYA levanta 3 milhões de dólares em 24 horas

    Publicado em 12/07/2012 às 9:52 | 5558 leituras

  1. Dual O/S: o concorrente direto do Windows

    Publicado em 18/03/2008 às 9:43 | 9104 leituras

  1. Conisli debate as barreiras para o software livre

    Publicado em 29/09/2011 às 17:35 | 6362 leituras

  1. Primeiro atraso do Fedora 18

    Publicado em 24/08/2012 às 10:32 | 6694 leituras

whitepapers

mais whitepapers