Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 5463 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Suspeita de direcionamento trava pregão Linux na Dataprev

Publicado em: 19/12/2014 às 13:54 | leituras |

A 2ª Vara Cível da Justiça Federal, em Brasília, mandou travar no último dia 15 de dezembro, os efeitos resultantes de um pregão eletrônico para aquisição de software Linux (adjudicação, homologação e contratação do vencedor), realizado pela Dataprev no dia 28 de novembro.

Alog abre vagas para contratação em TI

Publicado em: 18/12/2014 às 11:52 | leituras |

A Alog abriu vagas em São Paulo, Tamboré (Barueri) e Rio de Janeiro.Em São Paulo há oportunidades para estudantes de cursos relacionados a TI nas áreas de Processos (auditoria e qualidade) e Service Desk.

Programadores: é hora de formar no Brasil

Publicado em: 15/12/2014 às 9:49 | leituras |

A Microsoft lançou um site com recursos digitais para que estudantes possam aprender programação. O Microsoft Imagine, como foi batizado, é um novo pilar da iniciativa YouthSpark e foi lançado para celebrar a Semana das Ciências da Computação e da Hora do Código.

Faltam programadores para Java, Groovy, Grails e PL-SQL

Publicado em: 28/11/2014 às 10:37 | leituras |

Faltam profissionais no mercado para atuar com as plataformas Java, Groovy, Grails, e PL-SQL. Só para os especialistas em Java, por exemplo, a média salarial pode variar entre R$ 2 mil (Júnior) a R$ 7 mil (Sênior) no regime de contratação CLT.

Governo corre para formar técnicos em IPv6

Publicado em: 28/11/2014 às 10:31 | leituras |

Um plano de emergência foi adotado pela Secretaria de Logística e Tecnologia da Informação, do Ministério do Planejamento, para reduzir o gap governamental., revelou Daniel de Sousa Araújo, da SLTI, durante evento do NIC.br, realizado nesta quarta-feira, 26/11, em São Paulo.

Funcionários da Cobra Tecnologia aderem á greve em vários estados

Publicado em: 27/11/2014 às 15:19 | leituras |

Os trabalhadores da Cobra Tecnologia no Amapá, Bahia, Ceará, Distrito Federal, Goiás, Maranhão, Pará, Paraná, Pernambuco, Piauí, Rio de Janeiro e São Paulo estão de braços cruzados a partir desta terça-feira, 25/11. Os trabalhadores dos demais estados estão se organizando para aderirem ao movimento nacional.

Anatel admite atraso no IPv6 e diz que não vai ceder à pressão do mercado

Publicado em: 27/11/2014 às 15:09 | leituras |

Objetivo da agência reguladora é fazer com que, até meados do ano que vem, todas as prestadoras de serviços ofertem endereços IPv6 públicos aos novos usuários ou usuários legados que solicitarem endereços nos principais centros por todo o Brasil.

Política das Portas Abertas: Jacob Rossi fala sobre a abertura de código

Publicado em: 26/11/2014 às 14:19 | leituras |

Jacob Rossi, gerente de desenvolvimento do Internet Explorer, quebrou as regras para conversar com a gente sobre a sua perspectiva sobre a abertura de códigos da Microsoft.

ERP livre: ADempiere na Supply Service

Publicado em: 19/11/2014 às 13:15 | leituras |

Confira a entrevista de Gabriela Oppermann e Antônio Pregnolato, respectivamente Diretora Comercial e Gerente de TI do Grupo Supply Service, sobre a escolha e o uso da solução integrada de gestão empresarial de código aberto ADempiere na empresa.

Google libera serviço de música para todos usuários no Brasil

Publicado em: 18/11/2014 às 14:45 | leituras |

Play Música tem 30 milhões de faixas e permite armazenar acervo pessoal. Até 7 de janeiro, serviço oferece 60 dias de graça e assinatura por R$ 13.

Brasil segue sem política de segurança para BYOD

Publicado em: 18/11/2014 às 11:30 | leituras |

Estudo da BT aponta que as brechas na segurança móvel afetaram 78% das organizações brasileiras nos últimos doze meses, e ainda assim, as empresas não tomaram as medidas de segurança adequadas em caso, por exemplo, de infecções causadas por malwares ou roubo de dispositivos.

Redes sociais têm vagas no Brasil

Publicado em: 14/11/2014 às 10:43 | leituras |

Facebook, Google e Apple tem vagas na área de redes sociais em várias cidades do Brasil.

Equipe brasileira conquista primeiro lugar na Copa Mundial de Testes de Software

Publicado em: 12/11/2014 às 15:53 | leituras |

Equipe pernambucana teve o melhor desempenho dos seis continentes participantes do evento, que acontece na Alemanha.

Computador da Apple vendido diretamente por Jobs vai a leilão

Publicado em: 03/11/2014 às 13:58 | leituras |

Co-fundador da empresa vendeu o Apple-1 na casa dos pais, em 1976. Modelo funciona perfeitamente, segundo a casa de leilões Christie's.

NIC.br adverte: provedores, preparem suas redes para o IPv.6

Publicado em: 29/10/2014 às 11:16 | leituras |

Agora que terminou o estoque de IPv4, passa a ser muito importante migrar”, disse ele, em entrevista durante a Futurecom 2014.

Microsoft disponibiliza código-fonte do MS-DOS e do Word para o público

Publicado em: 27/10/2014 às 13:48 | leituras |

No mês de março de 2014, a Microsoft anunciou que tirou o pó do código-fonte para das primeiras versões do MS-DOS e do Word para Windows e o abriu para o público. Com a ajuda do Computer History Museum, disponibilizamos esses códigos para o público pela primeira vez.

Apache CloudStack versão 4.4.1 acaba de ser lançado

Publicado em: 22/10/2014 às 15:29 | leituras |

Plataforma de software de computação em nuvem em código aberto oferece maior eficiência e performance.

CEO da Microsoft, Satya Nadella, diz que ama o Linux

Publicado em: 22/10/2014 às 13:05 | leituras |

Satya Nadella ainda declarou que 20% da estrutura do Azure, serviço de nuvem da Microsoft, já é baseado no Linux.

Bancos veem Apple e Google como ameaça crescente no mercado

Publicado em: 17/10/2014 às 14:56 | leituras |

Segundo pesquisa, cerca de um quarto dos banqueiros entrevistados enxergam empresas não tradicionais de tecnologia como seus maiores rivais no momento.

Hackers ameaçam vazar 7 milhões de senhas do Dropbox

Publicado em: 17/10/2014 às 11:21 | leituras |

Criminoso libera pacotes com dados de centenas de contas e pede bitcoins para publicar mais informações.

Aliança Microsoft-SUSE: interoperabilidade para mais de 1000 clientes

Publicado em: 16/10/2014 às 16:04 | leituras |

Alfonso Castro, Diretor de Parcerias Estratégicas do Open Solutions Group da Microsoft, fala sobre a aliança entre SUSE e Microsoft em busca de melhorias na interoperabilidade de sistemas Windows-Linux.

Impressora 3D em MG usada para reconstruir rosto encarregado de obras

Publicado em: 16/10/2014 às 14:20 | leituras |

Após ter perdido o nariz, os lábios e parte do queixo por conta de um câncer na boca, o rosto do encarregado de obras Marcio Palhares, 56, foi reconstituído a partir de um método que utiliza impressora 3D, na UFJF (Universidade Federal de Juiz de Fora), em Juiz de Fora (278 km de Belo Horizonte), Minas Gerais.

Dropbox enfrenta problemas e apaga arquivos de internautas

Publicado em: 15/10/2014 às 16:35 | leituras |

O Dropbox enfrentou problemas no último fim de semana e alguns arquivos de usuários foram apagados. A instabilidade afetou somente versões mais antigas do software do serviço para computadores.

Falha ameaça todas as versões do Windows desde o Vista

Publicado em: 15/10/2014 às 11:54 | leituras |

Vulnerabilidade foi usada por criminosos em ataques contra Otan, governos europeus e companhias de energia e telecomunicações.

Adolescentes veem futuro na programação

Publicado em: 15/10/2014 às 10:46 | leituras |

No dia 7, a Microsoft promoveu oficinas com 300 alunos de colégios públicos e privados de São Paulo para incentivar o estudo da programação. A iniciativa faz farte da campanha "Eu Posso Programar", que pretende ensinar noções básicas a mais de um milhão de jovens na América Latina.


Mais notícias


lançamento!

LM 115 | Invasão




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 224976 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 128512 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 115541 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 108314 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 86106 leituras

  1. Raspberry Pi recebe novo sistema de instalação

    Publicado em 06/06/2013 às 14:22 | 6408 leituras

  1. Novos módulos no JBoss Seam 3.1

    Publicado em 17/01/2012 às 17:19 | 5986 leituras

  1. HTC e Motorola venderam 83% dos smartphones com Android

    Publicado em 08/07/2010 às 13:27 | 3936 leituras

  1. A Linux Magazine convida você para o WHD.brazil 2014

    Publicado em 08/09/2014 às 16:04 | 3319 leituras

  1. JQuery Mobile 1.2.0 traz widget em popup

    Publicado em 08/10/2012 às 9:27 | 5748 leituras

whitepapers

mais whitepapers