Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 5325 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

ERP livre: ADempiere na Supply Service

Publicado em: 19/11/2014 às 13:15 | leituras |

Confira a entrevista de Gabriela Oppermann e Antônio Pregnolato, respectivamente Diretora Comercial e Gerente de TI do Grupo Supply Service, sobre a escolha e o uso da solução integrada de gestão empresarial de código aberto ADempiere na empresa.

Google libera serviço de música para todos usuários no Brasil

Publicado em: 18/11/2014 às 14:45 | leituras |

Play Música tem 30 milhões de faixas e permite armazenar acervo pessoal. Até 7 de janeiro, serviço oferece 60 dias de graça e assinatura por R$ 13.

Brasil segue sem política de segurança para BYOD

Publicado em: 18/11/2014 às 11:30 | leituras |

Estudo da BT aponta que as brechas na segurança móvel afetaram 78% das organizações brasileiras nos últimos doze meses, e ainda assim, as empresas não tomaram as medidas de segurança adequadas em caso, por exemplo, de infecções causadas por malwares ou roubo de dispositivos.

Redes sociais têm vagas no Brasil

Publicado em: 14/11/2014 às 10:43 | leituras |

Facebook, Google e Apple tem vagas na área de redes sociais em várias cidades do Brasil.

Equipe brasileira conquista primeiro lugar na Copa Mundial de Testes de Software

Publicado em: 12/11/2014 às 15:53 | leituras |

Equipe pernambucana teve o melhor desempenho dos seis continentes participantes do evento, que acontece na Alemanha.

Computador da Apple vendido diretamente por Jobs vai a leilão

Publicado em: 03/11/2014 às 13:58 | leituras |

Co-fundador da empresa vendeu o Apple-1 na casa dos pais, em 1976. Modelo funciona perfeitamente, segundo a casa de leilões Christie's.

NIC.br adverte: provedores, preparem suas redes para o IPv.6

Publicado em: 29/10/2014 às 11:16 | leituras |

Agora que terminou o estoque de IPv4, passa a ser muito importante migrar”, disse ele, em entrevista durante a Futurecom 2014.

Microsoft disponibiliza código-fonte do MS-DOS e do Word para o público

Publicado em: 27/10/2014 às 13:48 | leituras |

No mês de março de 2014, a Microsoft anunciou que tirou o pó do código-fonte para das primeiras versões do MS-DOS e do Word para Windows e o abriu para o público. Com a ajuda do Computer History Museum, disponibilizamos esses códigos para o público pela primeira vez.

Apache CloudStack versão 4.4.1 acaba de ser lançado

Publicado em: 22/10/2014 às 15:29 | leituras |

Plataforma de software de computação em nuvem em código aberto oferece maior eficiência e performance.

CEO da Microsoft, Satya Nadella, diz que ama o Linux

Publicado em: 22/10/2014 às 13:05 | leituras |

Satya Nadella ainda declarou que 20% da estrutura do Azure, serviço de nuvem da Microsoft, já é baseado no Linux.

Bancos veem Apple e Google como ameaça crescente no mercado

Publicado em: 17/10/2014 às 14:56 | leituras |

Segundo pesquisa, cerca de um quarto dos banqueiros entrevistados enxergam empresas não tradicionais de tecnologia como seus maiores rivais no momento.

Hackers ameaçam vazar 7 milhões de senhas do Dropbox

Publicado em: 17/10/2014 às 11:21 | leituras |

Criminoso libera pacotes com dados de centenas de contas e pede bitcoins para publicar mais informações.

Aliança Microsoft-SUSE: interoperabilidade para mais de 1000 clientes

Publicado em: 16/10/2014 às 16:04 | leituras |

Alfonso Castro, Diretor de Parcerias Estratégicas do Open Solutions Group da Microsoft, fala sobre a aliança entre SUSE e Microsoft em busca de melhorias na interoperabilidade de sistemas Windows-Linux.

Impressora 3D em MG usada para reconstruir rosto encarregado de obras

Publicado em: 16/10/2014 às 14:20 | leituras |

Após ter perdido o nariz, os lábios e parte do queixo por conta de um câncer na boca, o rosto do encarregado de obras Marcio Palhares, 56, foi reconstituído a partir de um método que utiliza impressora 3D, na UFJF (Universidade Federal de Juiz de Fora), em Juiz de Fora (278 km de Belo Horizonte), Minas Gerais.

Dropbox enfrenta problemas e apaga arquivos de internautas

Publicado em: 15/10/2014 às 16:35 | leituras |

O Dropbox enfrentou problemas no último fim de semana e alguns arquivos de usuários foram apagados. A instabilidade afetou somente versões mais antigas do software do serviço para computadores.

Falha ameaça todas as versões do Windows desde o Vista

Publicado em: 15/10/2014 às 11:54 | leituras |

Vulnerabilidade foi usada por criminosos em ataques contra Otan, governos europeus e companhias de energia e telecomunicações.

Adolescentes veem futuro na programação

Publicado em: 15/10/2014 às 10:46 | leituras |

No dia 7, a Microsoft promoveu oficinas com 300 alunos de colégios públicos e privados de São Paulo para incentivar o estudo da programação. A iniciativa faz farte da campanha "Eu Posso Programar", que pretende ensinar noções básicas a mais de um milhão de jovens na América Latina.

Netflix chega ao Linux

Publicado em: 15/10/2014 às 8:52 | leituras |

A Netflix enfim está disponível para usuários do Linux que usem Ubuntu e o navegador Chrome a partir da versão 37.

Google implementa caixa de buscas para Pirate Bay

Publicado em: 14/10/2014 às 15:57 | leituras |

O Google acaba de tomar um passo que promete irritar organizações que defendem estúdios de Hollywood, como a RIAA e a MPAA.

InterCon 2014 já tem data marcada: 15 de novembro

Publicado em: 14/10/2014 às 11:21 | leituras |

As inscrições para o InterCon 2014 já estão abertas e são limitadas.

Microsoft lança acessório que carrega aparelhos totalmente sem fios

Publicado em: 14/10/2014 às 9:51 | leituras |

Novo carregador também possui indicadores de LED para mostrar os níveis de bateria e tecnologia de carregamento rápido que oferece.

Baidu compra Peixe Urbano

Publicado em: 13/10/2014 às 12:26 | leituras |

Chinesa se comprometeu a investir R$ 120 milhões no Brasil em três anos.

65 empresas têm inscrições abertas para estágio e trainee

Publicado em: 13/10/2014 às 12:01 | leituras |

Amanhã é o último dia para se inscrever nos programas de estágio do Facebook e da Petrobras Distribuidora. GE recruta trainees de administração e engenharia.

Hackers dizem ter 200 mil fotos íntimas obtidas no Snapchat

Publicado em: 13/10/2014 às 10:58 | leituras |

No fórum 4chan, hackers afirmam que obtiveram 200 mil fotos compartilhadas pelo Snapchat, incluindo muitas de pessoas nuas.

São Paulo terá 1º curso de Engenharia de Inovação

Publicado em: 10/10/2014 às 12:33 | leituras |

O Instituto Superior de Inovação e Tecnologia (Isitec) terá, a partir de 2015, a primeira, e ainda única, graduação em Engenharia de Inovação do Brasil. É um projeto completamente diferente de tudo o que existe no país. Além de focar no novo perfil desejado para o profissional de engenharia, o Isitec prioriza o aprendizado do estudante.


Mais notícias


lançamento!

LM 115 | Invasão




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 221394 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 126480 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 114402 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 107018 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 85145 leituras

  1. Consultas mais rápidas com o MariaDB 5.3.5

    Publicado em 06/03/2012 às 11:48 | 5377 leituras

  1. Aplicativos do Android poderão gravar dados no Google Drive

    Publicado em 31/01/2014 às 10:55 | 4267 leituras

  1. Governo americano doa código fonte de base de dados NoSQL à Fundação Apache

    Publicado em 06/09/2011 às 9:47 | 7405 leituras

  1. Fundação Qt começa a funcionar

    Publicado em 25/10/2011 às 12:29 | 5648 leituras

  1. China projeta supercomputador mais poderoso do mundo

    Publicado em 20/06/2013 às 10:45 | 11220 leituras

whitepapers

mais whitepapers