Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 4889 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Aluguel de datacenter no exterior passa a pagar impostos

Publicado em: 18/08/2014 às 14:12 | leituras |

Publicado hoje (18) no Diário Oficial, o Ato informa que serão cobrados os seguintes impostos e contribuições no pagamento pelo aluguel de datacenter:

Novo cabo USB mais potente encaixa dos dois lados

Publicado em: 15/08/2014 às 16:28 | leituras |

Está pronta uma nova especificação para cabos USB menores, mais rápidos e com maior potência na transmissão de energia elétrica. O plug Tipo-C terá design que permite encaixá-lo de qualquer lado nos dispositivos, semelhante ao plug Lightning, da Apple.

Apple é uma das empresas mais desiguais do setor de tecnologia

Publicado em: 15/08/2014 às 10:57 | leituras |

A Apple divulgou um relatório com estatísticas sobre a diversidade de gênero e raça na empresa. Ao publicar as informações Tim Cook, o CEO da companhia, declarou-se insatisfeito com os resultados.

Crackers brasileiros e gangue europeia criam nova técnica para alterar boletos

Publicado em: 14/08/2014 às 14:16 | leituras |

Algumas das táticas mais comuns usadas por cibercriminosos é enviar e-mails em nome de instituições oficiais que, no final das contas, são verdadeiras armadilhas para usuários mais desatentos.

Homem mais procurado do mundo, Snowden diz que o pior da NSA ainda está por vir

Publicado em: 14/08/2014 às 12:12 | leituras |

As revelações feitas por Edward Snowden sobre a NSA (Agência de Segurança Nacional dos Estados Unidos) ainda repercutem em toda a imprensa mesmo um ano após o ex-técnico ter divulgado centenas de documentos secretos da entidade americana.

Pesquisadores da Dinamarca estabelecem novo recorde de transferência de dados

Publicado em: 01/08/2014 às 9:54 | leituras |

Um grupo de pesquisadores da Technical University of Denmark (DTU) anunciou nesta quinta-feira (31) que bateu o novo recorde mundial de transmissão de dados por uma única fibra óptica, que registrou uma velocidade de 43 terabits por segundo – o equivalente a 5,4 Terabytes por segundo.

Mulheres X homens no mercado de TI

Publicado em: 30/07/2014 às 12:04 | leituras |

Para qualquer um que considere uma carreira em TI, caminhos e oportunidades de emprego são abundantes. No entanto, as mulheres só contam com 24% das ocupações.

Easy Taxi recebe aporte de R$ 90 milhões

Publicado em: 29/07/2014 às 9:45 | leituras |

O aplicativo de taxis Easy Taxi recebeu aporte de R$ 90 milhões de reais de dois grupos de investimento em companhias de tecnologia iniciantes, elevando o total de injeção de recursos na empresa brasileira lançada em 2012, a R$ 145 milhões.

Startups podem ganhar até R$ 1 milhão em Concurso

Publicado em: 28/07/2014 às 12:05 | leituras |

O concurso será realizado por meio da parceria entre Confederação Nacional dos Jovens Empresários (Conaje), Anjos do Brasil, ABStartups e Brazil Innovators.

Governo usa análise de dados no combate à lavagem de dinheiro

Publicado em: 28/07/2014 às 9:53 | leituras |

Foi assinado nesta quarta-feira, 23/07, o acordo de cooperação entre Ministério da Justiça e o Ministério Público Federal (MPF) para viabilizar a instalação da 43ª unidade da Rede Nacional de Laboratórios contra Lavagem de Dinheiro (REDE-LAB) na Procuradoria-Geral da República, em Brasília.

No Brasil, maioria das empresas não tem documentação original dos mainframes

Publicado em: 28/07/2014 às 9:28 | leituras |

A maioria dos líderes de TI reconhece que o conhecimento original sobre seus aplicativos de mainframe e da estrutura de suporte de dados não pode ser recuperado nos arquivos de suas respectivas organizações. Um levantamento global mostrou que 55% dos líderes em TI têm essa percepção.

Empresa de segurança cria portal baseado em rede neural

Publicado em: 25/07/2014 às 10:32 | leituras |

A PSafe Tecnologia SA, empresa de segurança digital em nuvem, anunciou o lançamento do mais novo portal de Internet com conteúdo personalizável de acordo com a navegação de cada usuário.

Relatório faz previsões 'sombrias' sobre futuro da internet

Publicado em: 24/07/2014 às 11:45 | leituras |

Diferentes estudiosos têm feito previsões para compreender como será a internet no futuro, mas muitas acabam influenciadas principalmente pelo momento em que vivemos.

Bug em produtos da Cisco permite acesso remoto de invasores

Publicado em: 18/07/2014 às 9:15 | leituras |

Foi identificado um bug de segurança em gateways de rede residencial da Cisco que permite o acesso aos dispositivos remotamente e o sequestro deles. Uma atualização de firmware foi lançada para ISPs visando corrigir a vulnerabilidade.

Dois brasileiros estão em Comitê que vai definir futuro da Internet

Publicado em: 17/07/2014 às 11:04 | leituras |

Passado o evento NetMundial, agora, representantes de grupos setoriais trabalham juntos para formar comitê que vai elaborar uma proposta para nortear a migração dos trabalhos da Iana, sigla em inglês para Autoridade para Designação de Números da Internet, para, ao que tudo indica, uma entidade multissetorial.

Lei de Informática é prorrogada até 2029

Publicado em: 17/07/2014 às 9:27 | leituras |

O Plenário do Senado aprovou nesta quarta-feira, 16/07, o projeto (PLC 61/2014) que prorroga o prazo dos benefícios garantidos ao setor de informática pela Lei 8.248/1991, a Lei de Informática.

Em nome da segurança, 'NSA alemã' voltará a usar máquinas de escrever

Publicado em: 16/07/2014 às 14:37 | leituras |

A piada parece estar prestes a se tornar literal também na Alemanha. Patrick Sensburg, diretor de um grupo do parlamento alemão responsável por investigar o escândalo de espionagem da NSA, afirmou que a equipe pode voltar a usar máquinas de escrever como forma de evitar o vazamento de informação, seja por meio de vigilância digital de governos ou ataques hackers.

Ataques DDoS estão mais fáceis de executar, afirma Akamai

Publicado em: 16/07/2014 às 11:48 | leituras |

A empresa constatou aumento de 47% no 1º trimestre de 2014, em relação a igual período do ano passado e de 18% em relação ao trimetres anterior.

Líder em IPv4, Brasil fica para trás na adoção do IPv6

Publicado em: 16/07/2014 às 10:28 | leituras |

O Brasil liderou o crescimento de adoção de IPv4 no primeiro trimestre deste ano, com aumento de 12% - o que significa mais de 4 milhões de novos endereços - de acordo com o estudo State of The Internet,da Akamai.

Como será a rede SDN na América Latina?

Publicado em: 15/07/2014 às 12:35 | leituras |

À primeira vista, muito pouco parece estar claro sobre as Redes Definidas por Software (SDN, na sigla em inglês). Dependendo de para quem a pergunta é direcionada, haverá diversas explicações diferentes.

Amazon contrata cientista do Google responsável pelo Google Glass

Publicado em: 14/07/2014 às 12:33 | leituras |

Um dos funcionários mais inovadores do Google está deixando a empresa. De acordo com o site The Verge, o cientista iraniano-americano Babak Parviz, responsável por fundar e liderar o projeto Google X – que deu origem aos óculos de realidade aumentada Google Glass –, trocou a gigante das buscas pela Amazon.

Positivo Informática anuncia sua primeira linha de notebooks híbridos

Publicado em: 11/07/2014 às 12:50 | leituras |

O primeiro produto a chegar ao varejo, nesta semana, é o conversível ultraportátil Positivo Duo ZK3010, com tela touch de 10,1 polegadas.

Nova tecnologia atinge velocidade de 10 Gbps usando fios de cobre convencionais

Publicado em: 11/07/2014 às 12:12 | leituras |

Engenheiros de telecomunicações da Bell Labs conseguiram atingir uma taxa de 10 gigabits por segundo utilizando fios de cobre.

Gianugo Rabellino do MS OpenTech fala sobre Gestão de Projetos Open Source na Microsoft

Publicado em: 11/07/2014 às 10:40 | leituras |

Gianugo Rabellino é diretor sênior das comunidades de código aberto da Microsoft Open Technologies, uma subsidiária da Microsoft Corporation que está comprometida em antecipar o compromisso da Microsoft com a abertura de código em toda a empresa e em toda a indústria.

STJ lança cartilha sobre segurança da informação

Publicado em: 08/07/2014 às 9:40 | leituras |

O Superior Tribunal de Justiça (STJ) lançou no dia 25/06, uma Cartilha de Segurança da Informação, uma iniciativa da Coordenadoria de Auditoria de Tecnologia da Informação (Caut) da Secretaria de Controle Interno (SCI) em parceria com o Conselho da Justiça Federal.


Mais notícias


lançamento!

LM 113 | OpenStack




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 207986 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 120425 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 110262 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 102547 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 81492 leituras

  1. GTK+ 3.4 com suporte a multitoque e ao Windows

    Publicado em 28/03/2012 às 12:20 | 4011 leituras

  1. Lançado novo portal da Linux Magazine

    Publicado em 19/03/2013 às 10:56 | 4740 leituras

  1. Qt não será plataforma de desenvolvimento para telefones Nokia equipados com o Windows

    Publicado em 14/02/2011 às 18:15 | 10900 leituras

  1. Desktops virtualizadas para Linux

    Publicado em 12/07/2011 às 15:18 | 4941 leituras

  1. Um 2012 com muito software público

    Publicado em 09/01/2012 às 11:01 | 3967 leituras

whitepapers

mais whitepapers