Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 6256 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Microsoft pode abandonar Windows Phone para apostar no Android

Publicado em: 01/07/2015 às 16:24 | leituras |

Um rumor, no mínimo estranho, pode ser capaz de mudar o panorama do mercado mobile caso se torne realidade. De acordo com os boatos surgidos nesta terça-feira (30), a Microsoft estaria se preparando para abandonar o Windows Phone e apostar no Android para o futuro de seu ecossistema de smartphones.

Cisco compra OpenDNS por US$ 635 milhões

Publicado em: 01/07/2015 às 11:56 | leituras |

Em um negócio que custou US$ 635 milhões, o serviço passa agora a fazer parte do portfólio de soluções da empresa especializada em redes, com foco, principalmente, nas soluções de segurança.

Morre Matti Makkonen, o pai do SMS

Publicado em: 30/06/2015 às 16:18 | leituras |

Muitas pessoas podem não conhecer o nome Matti Makkonen, mas praticamente todos já usaram uma de suas criações. Conhecido mundialmente como o "pai do SMS", Makkonen faleceu aos 63 anos de idade em decorrência de uma doença não divulgada.

Uma CEO mulher assume o comando da Microsoft Brasil

Publicado em: 29/06/2015 às 12:01 | leituras |

Paula Bellizia, que de 2002 a 2012 trabalhou na própria Microsoft, foi nomeada presidente da Microsoft Brasil a partir do próximo dia 1º de julho. Paula substitui Mariano de Beer, que assumirá uma nova posição na companhia, como presidente da subsidiária Novos Mercados América Latina, que envolve vários países na região.

Minicom rascunha Lei de Universalização da Banda Larga em regime público

Publicado em: 26/06/2015 às 13:05 | leituras |

Ao contrário da Anatel, que defende abertamente o fim das concessões de telefonia e a transição para um modelo de regulação mais leve, o Ministério das Comunicações avalia uma mudança na Lei Geral de Telecomunicações que permitiria incluir a oferta de banda larga nos contratos.

Quer trabalhar em TI? Saiba quais são os salários médios

Publicado em: 25/06/2015 às 16:08 | leituras |

Apesar da retração econômica, o setor de Tecnologia segue com salários atraentes no Brasil. Levantamento feito pela Catho, revela que, excluindo o cargo de Diretor, o maior ganho médio mensal no Brasil é o de Gerente de TI -R$ 7.610,50.

Velocidade da internet cresce 13% no 1º trimestre

Publicado em: 24/06/2015 às 16:14 | leituras |

Uma pesquisa global sobre a internet em 144 países/regiões, entre janeiro e março deste ano, revelou que a velocidade de conexão média no Brasil é de 3,4 Mbps, crescimento de 13% em relação ao trimestre anterior.

Última chance de completar gratuitamente sua coleção da Linux Magazine!

Publicado em: 17/06/2015 às 10:23 | leituras |

Promoção válida para os primeiros 150 assinantes e ex-assinantes digitais ou leitores que já tenham comprado pelo menos um exemplar digital. ESTA É A SUA ÚLTIMA CHANCE! APROVEITE ANTES QUE ACABE!!!

CPqD terá de aceitar mudanças para não fechar as portas

Publicado em: 10/06/2015 às 12:47 | leituras |

A saída de Hélio Graciosa; a injeção de recursos pelo governo e a intempestiva nomeação do novo presidente, Sebastião Sahão Junior, não encerram a novela da crise política aberta entre o governo e a fundação, nem resolverão os problemas estruturais da entidade após seus 38 anos de existência.

WhatsApp chega à justiça trabalhista no Brasil

Publicado em: 08/06/2015 às 11:45 | leituras |

A Justiça do Trabalho da 15ª Região (Campinas-SP) usou o OTT para promover um acordo de conciliação entre um trabalhador e uma empresa.

Facebook monta estratégia para quebrar resistência das teles ao Internet.org

Publicado em: 05/06/2015 às 12:43 | leituras |

O debate sobre a regulamentação do Marco Civil da Internet está, neste momento, bastante concentrado nos modelos de acesso gratuito – ou ‘zero rating'. A incerteza sobre a legalidade desse tipo de acesso, aliada às críticas ao projeto do Facebook nessa área parece deixar as teles no Brasil bastante cautelosas.

Tráfego em IPv6 chega a 2% no Brasil

Publicado em: 03/06/2015 às 14:41 | leituras |

O percentual ainda é pequeno, mas o ritmo é animador. Neste mês de junho o tráfego internet no Brasil chegou à marca de 2% em IPv6 – a nova versão do protocolo de Internet, que é a forma como todos os equipamentos conectados à rede mundial são reconhecidos.

Raspberry Pi destrava Playstation 4

Publicado em: 19/05/2015 às 15:52 | leituras |

Técnica de destravamnto do Playstation 4 já é utilizada por assistências técnicas brasileiras para desbloquear console.

Terceirização: Presidente do TST diz que do jeito que está, juízes terão 'm

Publicado em: 18/05/2015 às 15:04 | leituras |

O presidente do Tribunal Superior do Trabalho (TST), Antônio José de Barros Levenhagen, sustentou nesta segunda-feira, 18/05, que, se convertido em lei na forma como foi aprovado pela Câmara dos Deputados, o projeto que propõe novas regras para a terceirização aumentará o número de ações trabalhistas e, ao contrário do que tem sido dito por alguns de seus defensores, “não dará segurança jurídica às empresas”.

Lei de Acesso à Informação não 'pegou' no Brasil

Publicado em: 18/05/2015 às 10:38 | leituras |

Um levantamento feito pela Controladoria-Geral da União (CGU) aponta que 63% das cidades e dois estados tiraram nota zero em transparência pública. Esse é o resultado de um índice lançado pelo órgão nesta sexta-feira, 15/05, para lembrar os três anos de vigência da Lei de Acesso à Informação (LAI).

Usuários ignoram riscos de ameaças móveis, diz pesquisa

Publicado em: 15/05/2015 às 15:48 | leituras |

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% deles sabem nada ou muito pouco sobre malware móvel.

Quase 30% dos usuários sabem nada sobre malware móvel

Publicado em: 12/05/2015 às 7:01 | leituras |

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% dos usuários sabem nada ou muito pouco sobre malware móvel.

As armadilhas da nuvem: cuidado com a sua escolha

Publicado em: 01/05/2015 às 12:08 | leituras |

A próxima geração de aplicações seguem outras premissas onde a principal é a adequação para uma arquitetura de nuvem e isso exige uma escalabilidade horizontal: caso precise atender mais usuários, coloca-se mais uma instância dessa aplicação para atender o aumento da demanda.

Receita Federal rastreia IP e MAC Address e intima 80 mil contribuintes

Publicado em: 20/04/2015 às 13:49 | leituras |

A Receita Federal intimou 80 mil pessoas físicas com indícios de infrações cometidas na Declaração de Ajuste Anual do ImpostoRenda da Pessoa Física (DIRPF). As investigações são relativas às declarações de 2012, 2013 e 2014 (ano-calendário 2011, 2012 e 2013).

Linux Magazine, Fuctura e IBM convidam você para o Congresso de Software Livre do NE

Publicado em: 19/04/2015 às 10:35 | leituras |

O CONSOLINE é um evento construído pela comunidade Pernambucana de Software Livre para divulgar, debater e fomentar Tecnologia Livre no estado.

Terceirização: Brasscom rejeita 'teto' e insiste em tributação sobre a receita

Publicado em: 17/04/2015 às 12:03 | leituras |

Com a Terceirização em debate na Câmara, o presidente da Brasscom, Sérgio Paulo Galindo em entrevista ao portal Convergência Digital, sustenta que o tema uniu patrões e empregados de TI e Telecom.

Globalweb Corp. avança em criptografia com solução 100% nacional

Publicado em: 16/04/2015 às 18:39 | leituras |

Manter o sigilo dos dados corporativos é missão estratégica para as companhias e a criptografia é a última fronteira da segurança, destaca o diretor comercial da Globalweb Corp., Marco Antônio Zanini. A empresa criou uma solução 100% nacional, homologada no ITI Brasil, para atuar no segmento.

Terceirização: Para advogado, "pejotização é fraude trabalhista e fiscal"

Publicado em: 15/04/2015 às 12:15 | leituras |

A mudança na lei da Terceirização, aprovada pelo PL 4330/04, na Câmara dos Deputados, na noite desta quarta-feira, 08/04, terá impacto no dia a dia das empresas de TIC.

IBM publica artigo sobre migração de aplicativos Linux de x86 para Power Systems

Publicado em: 14/04/2015 às 13:13 | leituras |

Migração de aplicativos Linux em x86 para IBM Power Systems: uma discussão das melhores práticas, detalha as recomendações da IBM para as melhores práticas na seleção e migração de cargas de trabalho do Linux em x86 e os aplicativos para os servidores Power Systems.

Lançado o Linux 4.0

Publicado em: 13/04/2015 às 14:56 | leituras |

No Linux 4.0 é possível aplicar correções no sistema sem reiniciar o sistema. Além disso, uma atualização de atributos de arquivos deve melhorar o desempenho do sistema de arquivos ext4.


Mais notícias


lançamento!

LM 119 | Backup e Restauração




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 332254 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 139539 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 124136 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 116770 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 93085 leituras

  1. A migração do OpenStreetMap

    Publicado em 14/03/2012 às 13:06 | 5576 leituras

  1. API Social no Firefox Beta

    Publicado em 24/10/2012 às 14:37 | 7390 leituras

  1. Executivo da Canonical e líder do Debian em projeto conjunto

    Publicado em 18/03/2011 às 11:40 | 7644 leituras

  1. 28 de março é Dia dos documentos livres

    Publicado em 16/03/2012 às 9:37 | 5836 leituras

  1. Meteor ganha autenticação

    Publicado em 19/10/2012 às 15:39 | 5761 leituras

whitepapers

mais whitepapers