Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 6060 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Raspberry Pi destrava Playstation 4

Publicado em: 19/05/2015 às 15:52 | leituras |

Técnica de destravamnto do Playstation 4 já é utilizada por assistências técnicas brasileiras para desbloquear console.

Terceirização: Presidente do TST diz que do jeito que está, juízes terão 'm

Publicado em: 18/05/2015 às 15:04 | leituras |

O presidente do Tribunal Superior do Trabalho (TST), Antônio José de Barros Levenhagen, sustentou nesta segunda-feira, 18/05, que, se convertido em lei na forma como foi aprovado pela Câmara dos Deputados, o projeto que propõe novas regras para a terceirização aumentará o número de ações trabalhistas e, ao contrário do que tem sido dito por alguns de seus defensores, “não dará segurança jurídica às empresas”.

Lei de Acesso à Informação não 'pegou' no Brasil

Publicado em: 18/05/2015 às 10:38 | leituras |

Um levantamento feito pela Controladoria-Geral da União (CGU) aponta que 63% das cidades e dois estados tiraram nota zero em transparência pública. Esse é o resultado de um índice lançado pelo órgão nesta sexta-feira, 15/05, para lembrar os três anos de vigência da Lei de Acesso à Informação (LAI).

Usuários ignoram riscos de ameaças móveis, diz pesquisa

Publicado em: 15/05/2015 às 15:48 | leituras |

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% deles sabem nada ou muito pouco sobre malware móvel.

Quase 30% dos usuários sabem nada sobre malware móvel

Publicado em: 12/05/2015 às 7:01 | leituras |

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% dos usuários sabem nada ou muito pouco sobre malware móvel.

As armadilhas da nuvem: cuidado com a sua escolha

Publicado em: 01/05/2015 às 12:08 | leituras |

A próxima geração de aplicações seguem outras premissas onde a principal é a adequação para uma arquitetura de nuvem e isso exige uma escalabilidade horizontal: caso precise atender mais usuários, coloca-se mais uma instância dessa aplicação para atender o aumento da demanda.

Complete gratuitamente sua coleção da Linux Magazine!

Publicado em: 26/04/2015 às 19:55 | leituras |

Promoção válida para os primeiros 150 assinantes e ex-assinantes digitais ou leitores que já tenham comprado pelo menos um exemplar digital.

Receita Federal rastreia IP e MAC Address e intima 80 mil contribuintes

Publicado em: 20/04/2015 às 13:49 | leituras |

A Receita Federal intimou 80 mil pessoas físicas com indícios de infrações cometidas na Declaração de Ajuste Anual do ImpostoRenda da Pessoa Física (DIRPF). As investigações são relativas às declarações de 2012, 2013 e 2014 (ano-calendário 2011, 2012 e 2013).

Linux Magazine, Fuctura e IBM convidam você para o Congresso de Software Livre do NE

Publicado em: 19/04/2015 às 10:35 | leituras |

O CONSOLINE é um evento construído pela comunidade Pernambucana de Software Livre para divulgar, debater e fomentar Tecnologia Livre no estado.

Terceirização: Brasscom rejeita 'teto' e insiste em tributação sobre a receita

Publicado em: 17/04/2015 às 12:03 | leituras |

Com a Terceirização em debate na Câmara, o presidente da Brasscom, Sérgio Paulo Galindo em entrevista ao portal Convergência Digital, sustenta que o tema uniu patrões e empregados de TI e Telecom.

Globalweb Corp. avança em criptografia com solução 100% nacional

Publicado em: 16/04/2015 às 18:39 | leituras |

Manter o sigilo dos dados corporativos é missão estratégica para as companhias e a criptografia é a última fronteira da segurança, destaca o diretor comercial da Globalweb Corp., Marco Antônio Zanini. A empresa criou uma solução 100% nacional, homologada no ITI Brasil, para atuar no segmento.

Terceirização: Para advogado, "pejotização é fraude trabalhista e fiscal"

Publicado em: 15/04/2015 às 12:15 | leituras |

A mudança na lei da Terceirização, aprovada pelo PL 4330/04, na Câmara dos Deputados, na noite desta quarta-feira, 08/04, terá impacto no dia a dia das empresas de TIC.

IBM publica artigo sobre migração de aplicativos Linux de x86 para Power Systems

Publicado em: 14/04/2015 às 13:13 | leituras |

Migração de aplicativos Linux em x86 para IBM Power Systems: uma discussão das melhores práticas, detalha as recomendações da IBM para as melhores práticas na seleção e migração de cargas de trabalho do Linux em x86 e os aplicativos para os servidores Power Systems.

Lançado o Linux 4.0

Publicado em: 13/04/2015 às 14:56 | leituras |

No Linux 4.0 é possível aplicar correções no sistema sem reiniciar o sistema. Além disso, uma atualização de atributos de arquivos deve melhorar o desempenho do sistema de arquivos ext4.

Escanteado na TV aberta, Ginga escreve seu futuro no IPTV

Publicado em: 10/04/2015 às 16:09 | leituras |

Totalmente brasileira, é com o middleware desenvolvido no país a recomendação de interatividade na televisão sobre protocolo de Internet da União Internacional de Telecomunicações (UIT).

Ataques DDoS multiplicam e incidentes superam a casa de 1 milhão no Brasil

Publicado em: 06/04/2015 às 10:44 | leituras |

As notificações de incidentes de rede triplicaram no ano passado, com especial destaque para ataques de negação de serviço – que chegaram a 223.935 casos, ou 217 vezes maior do que o registrado um ano antes. No total, as notificações ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) somaram 1.047.031 em 2014.

Segurança cibernética: cadê os profissionais brasileiros?

Publicado em: 03/04/2015 às 14:33 | leituras |

Embora o mercado esteja bastante desafiador neste primeiro trimestre de 2015, sobram ofertas de empregos para profissionais que reúnem habilidades mais difíceis de serem encontradas no mercado.

Quase metade das empresas terão operação em nuvem até o final do ano

Publicado em: 17/03/2015 às 16:30 | leituras |

A Computação em nuvem está evoluindo rapidamente no Brasil, com 41% das empresas já investindo em algum modelo e 42% das empresas brasileiras pretendendo investir até o final de 2015. Desse último grupo, 25% das empresas estarão investindo pela primeira vez.

CPqD é credenciado para testar tecnologias embarcadas em ônibus da capital paulista

Publicado em: 16/03/2015 às 16:29 | leituras |

O CPqD foi o primeiro laboratório a se credenciar como organismo de testes, de certificação e de inspeção de tecnologias embarcadas para as frotas de ônibus da cidade de São Paulo.

Entrega de código-fonte gera impasse entre empresas e governo

Publicado em: 15/03/2015 às 16:47 | leituras |

Apesar do clima amistoso, terminou em impasse a audiência pública para discutir a auditoria em programas e equipamentos para os serviços de Tecnologia da Informação e Comunicações (TIC), fornecidos aos órgãos do governo federal, em Brasília.

Neutralidade e dados pessoais dominam consulta sobre Marco Civil

Publicado em: 04/03/2015 às 15:38 | leituras |

A neutralidade de rede foi o tema que mais provocou comentários na consulta pública que o Comitê Gestor da Internet no Brasil realizou para preparar seu posicionamento sobre a regulamentação da Lei 12.965/14, o Marco Civil da Internet.

CPqD reúne setor para debater internet das coisas

Publicado em: 03/03/2015 às 14:52 | leituras |

A internet das coisas - e seus desafios, tendências, tecnologias e aplicações - será o foco de uma série de seis apresentações técnicas, via web, que o CPqD vai oferecer a partir deste mês de março.

Novas leis de direitos autorais podem deixar serviços de streaming mais caros

Publicado em: 11/02/2015 às 16:11 | leituras |

O objetivo seria aumentar os pagamentos e compensações aos artistas e proprietários das faixas, uma medida que, no final das contas, deve encarecer os preços das assinaturas.

Falta maturidade e apenas 10% das empresas brasileiras adotam big data

Publicado em: 11/02/2015 às 12:44 | leituras |

O mercado brasileiro de big data analytics ainda não está maduro e, por conta disso, são poucas as empresas que investiram nessas soluções e já mensuram os resultados.

Marco Civil: Quem tem a real obrigação da guarda dos logs?

Publicado em: 10/02/2015 às 11:05 | leituras |

Na regulamentação do Marco Civil da Internet, além da neutralidade de rede, a guarda de registro de logs e a privacidade na web são outros tópicos que devem render muita discussão.


Mais notícias


lançamento!

LM 118 | RaspberryPi no mundo real




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 246713 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 137140 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 122221 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 114949 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 91564 leituras

  1. Ubuntu 11.04 chega ao fim do seu ciclo de vida

    Publicado em 29/10/2012 às 17:25 | 7135 leituras

  1. Mesa 9.0 oferece suporte ao OpenGL 3.1

    Publicado em 09/10/2012 às 13:23 | 6506 leituras

  1. Nokia contrata executivo da Microsoft como novo CEO

    Publicado em 10/09/2010 às 12:02 | 4989 leituras

  1. NVIDIA responde Linus Torvalds

    Publicado em 20/06/2012 às 15:35 | 6290 leituras

  1. Jetbrains libera código fonte do Kotlin, alternativa segura ao Java

    Publicado em 14/02/2012 às 17:04 | 5409 leituras

whitepapers

mais whitepapers