Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 4274 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Zebra compra divisão de enterprise da Motorola Solutions por US$ 3,4 bi

Publicado em: 15/04/2014 às 17:49 | leituras |

Negócio é para reforçar a posição da companhia em setores-chave, como varejo, manufatura transporte e logística.

Brasil defende governança global de internet

Publicado em: 15/04/2014 às 12:25 | leituras |

Ministro Paulo Bernardo defendeu uma governança global sem dependência dos Estados Unidos.

Heartbleed afeta dispositivos móveis e internet banking

Publicado em: 15/04/2014 às 11:35 | leituras |

Cerca de 390 mil apps do Google Play e 1,3 mil apps conectados a servidores vulneráveis foram encontrados. Entre eles estão bancos, pagamentos online e e-commerce.

AMD cria mini computadores a partir de US$ 40

Publicado em: 14/04/2014 às 15:27 | leituras |

A faixa de preço torna os produtos atraentes para empresas que precisam de uma grande quantidade de computadores com desempenho leve, além de serem especialmente interessantes para os que planejam criar media centers.

Fiesp abre inscrições para programa de startups

Publicado em: 14/04/2014 às 15:19 | leituras |

Pelo Acelera Startup, os dez melhores terão a chance de apresentar seu negócio à uma banca de grandes investidores-anjo do País.

Faltará mão de obra no setor de outsourcing de TI no BrasilNenhum comentário

Publicado em: 14/04/2014 às 14:17 | leituras |

Em 2013, o mercado brasileiro teve alta de 9,5%, patamar superior ao dobro da média global, que ficou em 4%. Com esta estimativa, a taxa de expansão do Brasil deve ficar, em 2014, acima do previsto para a América Latina (8,2%) e o restante do mundo (4%).

Após o Heartbleed: quatro alternativas ao OpenSSL

Publicado em: 14/04/2014 às 12:03 | leituras |

Ninguém precisa ser lembrado da gravidade do Heartbleed, o bug descoberto no OpenSSL. Em vez disso, as pessoas estão à procura de soluções: como corrigi-lo e como evitar que falhas semelhantes venham a ocorrer no futuro.

Tecnologia SDN pede um novo tipo de profissional de TI, diz especialista

Publicado em: 14/04/2014 às 11:25 | leituras |

Segundo diretor da NetBR, as redes definidas por software exigem que engenheiros de projeto e operação de data centers revisem sua forma de operar.

Demora na adoção ao software livre atrasa o Brasil frente à outros países

Publicado em: 14/04/2014 às 10:37 | leituras |

A partir da pergunta sobre os sistemas operacionais usados como plataforma tecnológica para os produtos e serviços que comercializam, concluímos que, no Brasil, 41% das empresas fizeram opção por alguma distribuição do Linux. Apenas a família de sistemas operacionais da Microsoft, usada por 78% das empresas, possui participação maior.

Concurso quer aproximar startups de grandes investidores

Publicado em: 11/04/2014 às 17:46 | leituras |

Com o objetivo de estimular o empreendedorismo, a FIESP (Federação das Indústrias do Estado de SP) abriu inscrições para o concurso Acelera Startup, que vai estimular projetos ainda em desenvolvimento e colocar 10 finalistas em contato com investidores.

Novo livro sobre história e funcionamento do Bitcoin chega ao Brasil

Publicado em: 11/04/2014 às 9:49 | leituras |

Autor defende em livro a ideia de que pagamentos baseados em registros de transações tem potencial revolucionário, sobretudo em países emergentes.

Google libera kits de desenvolvimento para smartphone modular Projeto Ara

Publicado em: 10/04/2014 às 15:51 | leituras |

Criado pela Motorola, projeto para smartphone customizável começa a sair do papel.

Esboço de documento do NetMundial vaza na Internet

Publicado em: 10/04/2014 às 13:39 | leituras |

O Net Mundial, evento que acontece nos dias 23 e 24 de abril, em São Paulo, condenará a espionagem online dos Estados Unidos, segundo o esboço do documento vazado nesta terça-feira, 08/04, pelo site WikiLeaks.

Serpro termina migração de PCs para Ubuntu em abril

Publicado em: 10/04/2014 às 11:43 | leituras |

Até o final de abril, o Serpro etima que a maior parte das estações de trabalho do Serpro já estejam migradas para o Ubuntu 12.04. Restarão apenas estações com restrições para migração, especialmente devido à incompatibilidade de softwares legados ainda em uso.

Sem mão de obra, provedores atuam pouco no gerenciamento da Internet

Publicado em: 10/04/2014 às 10:57 | leituras |

O presidente da Abranet, Eduardo Neger, admite que o Brasil - que hoje possui cerca de 4000 provedores Internet - têm poucos atuando como AS, uma vez que entre os 2450 existentes há universidades, bancos e grandes empresas, como Petrobras.

Não à pirataria, utilize Open Source!

Publicado em: 09/04/2014 às 14:15 | leituras |

A preocupação com as leis de direitos autorais e políticas anti parataria de empresas podem ser facilmente resolvidas: use Linux!

Falha grave compromete grandes sites; veja quais são vulneráveis

Publicado em: 09/04/2014 às 11:21 | leituras |

O OpenSSL permite o uso da encriptação SSL (Secure Sockets Layer), responsável por botar o “S” em “HTTPS”, que indica um site seguro, e o TLS (Transporte Security Layer). Essas ferramentas são amplamente usadas na rede e por muitos sites grandes, incluindo o Yahoo!.

Mobilidade: salários estão chegando a R$ 12 mil

Publicado em: 08/04/2014 às 12:10 | leituras |

Esta movimentação rumo à mobilidade, segundo Álvaro Venegas, diretor da ENG, é impulsionada pelo aumento do número de aparelhos móveis vendidos no mercado, principalmente pelos tablets, que, pela primeira vez superaram os desktops em volume de vendas no Brasil.

Golpe virtual atinge usuários de dois bancos brasileiros

Publicado em: 08/04/2014 às 10:06 | leituras |

Um dos golpes identificados pelo antivírus da ESET é disseminado por meio de um Trojan identificado como Win32/Spy.Bancos.ACD. Quando executado na máquina do usuário, esse malware abre um navegador muito similar ao Google Chrome diretamente na página de uma importante instituição financeira.

Abinee entrega proposta de revisão da Lei de Informática ao governo

Publicado em: 08/04/2014 às 9:01 | leituras |

Até o final do mês de maio, o presidente da Abinee, Humberto Barbato espera retornar a Brasília para voltar a sentar com o governo e discutgior mudanças na Lei de Informática.

Especialista prevê que armazenamento na nuvem pode ficar gratuito já em 2015

Publicado em: 07/04/2014 às 17:36 | leituras |

Em um artigo publicado no site Venture Beat, o CEO e cofundador da Egnyte prevê que os valores para compra de espaço na nuvem para armazenamento de arquivos serão zerados em 2015, mais precisamente, nos próximos 12 a 18 meses.

Greve em TI: Justiça do Trabalho determina suspensão de homologações

Publicado em: 07/04/2014 às 15:16 | leituras |

Na semana passada, o juiz titular da 22ª Vara do Trabalho de São Paulo, Samir Soubhia, determinou que o Ministério do Trabalho e Emprego suspenda as homologações dos trabalhadores de tecnologia da informação, que de acordo com o sindicato dos trabalhadores, estavam sendo feitas uma vez que o Ministério do Trabalho acatou a alegação dolosa do sindicato patronal e iniciou a homologar com ressalvas as demissões promovidas por empresas de TI.

BRQ abre 100 vagas na área de TI para SP

Publicado em: 07/04/2014 às 10:26 | leituras |

Os candidatos selecionados trabalharão com tecnologias de ponta em projetos sofisticados envolvendo algumas das maiores empresas do país. E poderão ao longo do tempo se especializar e optar por diversas possibilidades de carreira.

Nova política para desenvolvedores da Microsoft pode bloquear adwares de apps

Publicado em: 07/04/2014 às 8:54 | leituras |

A principal mudança fica por conta da política que fala sobre o bloqueio de programas com adwares a partir de 1º de julho. No passado, a execução deles era permitida até que os usuários escolhessem uma das opções oferecidas pelos programas de segurança da Microsoft.

Luís Banhara assume como country manager da Citrix no Brasil

Publicado em: 04/04/2014 às 17:46 | leituras |

Antes de entrar para a Citrix, Banhara era diretor de negócios e parcerias da Microsoft. Foi justamente essa experiência no campo das revendas que o tornou interessante para a empresa de virtualização, que pretende reforçar o trabalho com setores como o financeiro, telecomunicações, governo, saúde e educação.


Mais notícias


whitepapers

mais whitepapers

  

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 185877 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 110049 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 103221 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 94440 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 75007 leituras

  1. Webconferência livre com o Dimdim

    Publicado em 23/04/2008 às 10:49 | 5797 leituras

  1. Misturas finas: a iniciativa Debian Pure Blends

    Publicado em 10/11/2008 às 10:27 | 7440 leituras

  1. Novos white papers da Oracle: baixe e ganhe 6.000 páginas de Linux Magazine!

    Publicado em 10/04/2013 às 19:06 | 5789 leituras

  1. ABNT solicita a ISO cancelamento da aprovação da OOXML

    Publicado em 25/06/2008 às 19:35 | 3705 leituras

  1. Yahoo investirá em hackers com boas ideias

    Publicado em 26/07/2010 às 16:51 | 3263 leituras