Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 5844 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Quase metade das empresas terão operação em nuvem até o final do ano

Publicado em: 17/03/2015 às 16:30 | leituras |

A Computação em nuvem está evoluindo rapidamente no Brasil, com 41% das empresas já investindo em algum modelo e 42% das empresas brasileiras pretendendo investir até o final de 2015. Desse último grupo, 25% das empresas estarão investindo pela primeira vez.

CPqD é credenciado para testar tecnologias embarcadas em ônibus da capital paulista

Publicado em: 16/03/2015 às 16:29 | leituras |

O CPqD foi o primeiro laboratório a se credenciar como organismo de testes, de certificação e de inspeção de tecnologias embarcadas para as frotas de ônibus da cidade de São Paulo.

Entrega de código-fonte gera impasse entre empresas e governo

Publicado em: 15/03/2015 às 16:47 | leituras |

Apesar do clima amistoso, terminou em impasse a audiência pública para discutir a auditoria em programas e equipamentos para os serviços de Tecnologia da Informação e Comunicações (TIC), fornecidos aos órgãos do governo federal, em Brasília.

Neutralidade e dados pessoais dominam consulta sobre Marco Civil

Publicado em: 04/03/2015 às 15:38 | leituras |

A neutralidade de rede foi o tema que mais provocou comentários na consulta pública que o Comitê Gestor da Internet no Brasil realizou para preparar seu posicionamento sobre a regulamentação da Lei 12.965/14, o Marco Civil da Internet.

CPqD reúne setor para debater internet das coisas

Publicado em: 03/03/2015 às 14:52 | leituras |

A internet das coisas - e seus desafios, tendências, tecnologias e aplicações - será o foco de uma série de seis apresentações técnicas, via web, que o CPqD vai oferecer a partir deste mês de março.

Novas leis de direitos autorais podem deixar serviços de streaming mais caros

Publicado em: 11/02/2015 às 16:11 | leituras |

O objetivo seria aumentar os pagamentos e compensações aos artistas e proprietários das faixas, uma medida que, no final das contas, deve encarecer os preços das assinaturas.

Falta maturidade e apenas 10% das empresas brasileiras adotam big data

Publicado em: 11/02/2015 às 12:44 | leituras |

O mercado brasileiro de big data analytics ainda não está maduro e, por conta disso, são poucas as empresas que investiram nessas soluções e já mensuram os resultados.

Marco Civil: Quem tem a real obrigação da guarda dos logs?

Publicado em: 10/02/2015 às 11:05 | leituras |

Na regulamentação do Marco Civil da Internet, além da neutralidade de rede, a guarda de registro de logs e a privacidade na web são outros tópicos que devem render muita discussão.

Facebook, Google, LinkedIn e Twitter abrem vagas no Brasil

Publicado em: 09/02/2015 às 14:21 | leituras |

Quem tem o sonho de trabalhar nas maiores empresas de internet do mundo, já pode começar a atualizar o currículo, pois Facebook, Google, LinkedIn e Twitter estão com vagas abertas aqui no Brasil.

Gartner prevê queda nos investimentos em Tecnologia da Informação em 2015

Publicado em: 09/02/2015 às 10:02 | leituras |

De acordo com a última previsão realizada pelo Gartner, os investimentos no setor de Tecnologia de Informação deverão crescer 2,4% em todo o mundo. De acordo com a projeção, o mercado de TI receberá cerca de US$ 2,8 trilhões em 2015.

Prefeitura de SP prepara licitação para Fab Labs, centros de fomento à computaç&

Publicado em: 05/02/2015 às 12:35 | leituras |

A prefeitura de São Paulo está preparando edital para licitar 12 Fab Labs ou laboratórios de fabricação, que são oficinas equipadas para fomentar o desenvolvimento de produtos tecnológicos do inglês.

Governo abre consulta pública para discutir licença de software livre

Publicado em: 04/02/2015 às 11:14 | leituras |

O Ministério do Planejamento abriu nesta terça-feira, 03/02, consulta pública sobre as licenças de software livres a serem aceitas pelo Portal do Software Público Brasileiro, o SPB.

Data centers e serviços na nuvem são os alvos principais dos ataques DDoS

Publicado em: 28/01/2015 às 16:08 | leituras |

O 10º Relatório Global de Segurança de Infraestrutura (WISR – World Infrastructure Security Report) da Arbor Networks constata que os ataques DDoS (negação de serviço) são cada vez mais uma ameaça séria à continuidade do negócio e às operações das organizações.

Lei de Dados Abertos: proposta endurece a atual Lei de Acesso à Informação

Publicado em: 28/01/2015 às 11:49 | leituras |

A Câmara dos Deputados analisa proposta que cria a Lei de Dados Abertos, para garantir o acesso público a todos os dados primários produzidos, coletados ou armazenados por órgãos da administração pública, direta e indireta, nas esferas municipal, estadual e federal.

Por big data, Microsoft vai às compras em open source

Publicado em: 27/01/2015 às 13:23 | leituras |

Por negócios em biga data, a Microsoft foi às compras no mundo open source. A empresa anunciou nesta sexta-feira, 23/01, a aquisição da Revolution Analytics, provedora de ferramentas de código aberto (open source) focadas na linguagem "R".

Microsoft abandona Windows Phone e usará Windows 10 para todas as plataformas

Publicado em: 22/01/2015 às 15:48 | leituras |

A Microsoft está deixando claro que tentará começar uma nova era marcada pelo desenvolvimento da nova versão do Windows. Essa mudança passa por todas as plataformas e nomenclaturas adotadas pela empresa nos últimos anos.

Procuram-se desenvolvedores de apps móveis

Publicado em: 20/01/2015 às 15:04 | leituras |

Estudo aponta que somente 6% das empresas possuem desenvolvedores capacitados para acompanhar a demanda por aplicativos para smartphones e tablets.

Analista de sistemas é o cargo mais procurado em TI

Publicado em: 19/01/2015 às 10:57 | leituras |

A cidade de São Paulo lidera a lista das que mais empregam, com 32% das oportunidades anunciadas. Rio de Janeiro aparece em segundo lugar com 9.97%, seguido de Porto Alegre 9.77%.

Google não atende apelo da Microsoft e revela nova falha do Windows

Publicado em: 16/01/2015 às 17:31 | leituras |

O relacionamento entre o Google e a Microsoft, que nunca foi dos melhores, pode ter azedado de vez. O Google, mesmo com apelos feitos pela MS, liberou novos detalhes de mais uma falha sem solução do Windows 8.1, a terceira em um mês.

Tecnologia móvel gera 11 milhões de empregos

Publicado em: 16/01/2015 às 14:13 | leituras |

Segundo o The Boston Consulting Group (BCG) esta indústria geror receita de quase US$ 3,3 tilhões em 2014.

Lançado o CloudStack Day Brasil 2015

Publicado em: 15/01/2015 às 14:33 | leituras |

O evento será realizado em São Paulo, nas dependências da Universidade de São Paulo, no Auditório István Jancsó, no dia 12/02/2015.

Empenhados na busca de acordo, sindicatos iniciam negociação salarial

Publicado em: 15/01/2015 às 13:40 | leituras |

Segunda rodada será realizada na próxima sexta-feira, dia 16 e podem surgir novidades importantes para os profissionais de TI nesta data.

Migração para Linux nos servidores está entre as prioridades para 2015

Publicado em: 12/01/2015 às 9:52 | leituras |

As empresas estruturam suas estratégias de TI para 2015. Uma pesquisa realizada pela Red Hat, fornecedor de soluções de software de código aberto, com 115 empresas de variados portes, apontou que haverá uma demanda crescente pela adoção de Linux. No mundo corporativo, o OpenStack, de acordo com o estudo, está em alta.

A falência da TI no Rio Grande do Sul e no Brasil

Publicado em: 09/01/2015 às 9:50 | leituras |

Na segunda semana do mês de dezembro, o Governador do RS, José Ivo Sartori, anunciou o fim da Secretaria de Ciência, Inovação e Desenvolvimento Tecnológico (SCIT), colocando o tema abaixo da Secretária de Desenvolvimento.

Oi cria plataforma de comunicação para atender home office

Publicado em: 08/01/2015 às 9:55 | leituras |

A Oi Smart Office, já disponível para a contratação, oferece controle de jornada e produtividade do colaborador em trabalho remoto, inclusive com uso de biometria, atendendo plenamente o estabelecido na CLT (Consolidação das Leis do Trabalho).


Mais notícias


lançamento!

LM 117 | Desenvolvimento




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 238233 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 134044 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 119475 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 112693 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 89537 leituras

  1. Microsoft atualiza ferramentas de gestão de VMs em cloud para Mac e Linux

    Publicado em 15/05/2014 às 10:17 | 1834 leituras

  1. Linux Magazine de janeiro: Suportando o Vista

    Publicado em 14/01/2009 às 14:39 | 4063 leituras

  1. Problemas com o OOXML forçam Microsoft a adotar o ODF

    Publicado em 23/05/2008 às 14:46 | 4497 leituras

  1. HP e Google vão entregar solução para PME entrar na nuvem

    Publicado em 18/06/2013 às 14:56 | 4810 leituras

  1. Um exame da LPI para principiantes

    Publicado em 09/03/2012 às 16:09 | 6715 leituras

whitepapers

mais whitepapers