Uma competição para descobrir vulnerabilidades

Publicado em 13/03/2012 às 12:01 | 5172 leituras

Durante as competições Pwn2Own e Pwnium os navegadores Microsoft Internet Explorer, Mozilla Firefox e Google Chrome foram colocados à prova.


Versão para impressão Enviar por email


A competição Pwn2Own, que aconteceu durante o evento CanSecWest, submeteu os navegadores Google Chrome, Microsoft Internet Explorer e Mozilla Firefox à exploração de falhas de dia zero, dando às equipes envolvidas o maior número de pontos possíveis por vulnerabilidade explorada. O Chrome caiu ainda uma segunda vez no concurso Pwnium, promovido pelo próprio Google, com um ataque que reuniu três vulnerabilidades de dia zero.


Ao fim da competição, a equipe VUPEN ganhou o primeiro lugar, e um prêmio de sessenta mil dólares, com um total de 123 pontos, após explorar com sucesso as vulnerabilidades do Internet Explorer e do google Chrome. A vulnerabilidade do Chrome parece estar ligada à falhas de segurança no tocador Flash que vem embutido no navegador, já a vulnerabilidade do Internet Explorer foi conseguida através de uma sobrecarga de buffer (buffer overflow) na pilha (heap) contornando as proteções DEP e ASLR. Eles então usaram um erro de memória para sair da sandbox (modo protegido) do navegador. A VUPEN só revelará os detalhes da sobrecarga de pilha (heap overflow), mantendo em segredo seu método para contornar o modo protegido, para que possa vendê-los para seus clientes. O grupo também alega que a vulnerabilidade também pode ser explorada no Internet Explorer 10, mas como existem mais proteções contra o use-after-free e vazamentos de memória no navegador, a exploração dessas falhas se torna mais difícil.


O Mozilla Firefox caiu para a equipe de Willen Pinckaers e Vincenzo Iozzo, que juntos levaram o segundo lugar do Pwn2Own. A única vulnerabilidade de dia zero no Firefox envolveu um problema de use-after-free que evitava as proteções DEP e ASLR no Windows 7. De acordo com os relatos, a vulnerabilidade foi usada para vazar informações diversas vezes e que foi usado para preparar código para execução, novamente através da mesma vulnerabilidade. Pinckaers e Iozzo ganharam trinta mil dólares com 66 pontos.


Durante a competição Pwnium, promovida pelo Google, o Chrome caiu pela segunda vez após um hacker que se identifica como "Pinkie Pie" usou consecutivamente três vulnerabilidades de dia zero no Chrome para sair de sua sandbox e executar código. A falta foi revelada apenas horas antes da competição ter se encerrado. O Google não vai discutir os detalhes das três vulnerabilidades até que tenha criado e distribuído uma correção para essas falhas de segurança; a empresa corrigiu os primeiros erros encontrados durante a Pwnium nas primeira 24 horas após o evento. A competição do Google acontece de forma independente ao Pwn2Own; a empresa de busca decidiu patrocinar sua própria competição após descobrir que mudanças nas regras permitiam que os participantes não revelassem as vulnerabilidades usadas no Pwn2Own para os fornecedores e desenvolvedores dos navegadores web.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Apache CloudStack versão 4.4.1 acaba de ser lançado

Publicado em: 22/10/2014 às 15:29 | leituras |

Plataforma de software de computação em nuvem em código aberto oferece maior eficiência e performance.

CEO da Microsoft, Satya Nadella, diz que ama o Linux

Publicado em: 22/10/2014 às 13:05 | leituras |

Satya Nadella ainda declarou que 20% da estrutura do Azure, serviço de nuvem da Microsoft, já é baseado no Linux.

Bancos veem Apple e Google como ameaça crescente no mercado

Publicado em: 17/10/2014 às 14:56 | leituras |

Segundo pesquisa, cerca de um quarto dos banqueiros entrevistados enxergam empresas não tradicionais de tecnologia como seus maiores rivais no momento.

Hackers ameaçam vazar 7 milhões de senhas do Dropbox

Publicado em: 17/10/2014 às 11:21 | leituras |

Criminoso libera pacotes com dados de centenas de contas e pede bitcoins para publicar mais informações.

Aliança Microsoft-SUSE: interoperabilidade para mais de 1000 clientes

Publicado em: 16/10/2014 às 16:04 | leituras |

Alfonso Castro, Diretor de Parcerias Estratégicas do Open Solutions Group da Microsoft, fala sobre a aliança entre SUSE e Microsoft em busca de melhorias na interoperabilidade de sistemas Windows-Linux.

Impressora 3D em MG usada para reconstruir rosto encarregado de obras

Publicado em: 16/10/2014 às 14:20 | leituras |

Após ter perdido o nariz, os lábios e parte do queixo por conta de um câncer na boca, o rosto do encarregado de obras Marcio Palhares, 56, foi reconstituído a partir de um método que utiliza impressora 3D, na UFJF (Universidade Federal de Juiz de Fora), em Juiz de Fora (278 km de Belo Horizonte), Minas Gerais.

Dropbox enfrenta problemas e apaga arquivos de internautas

Publicado em: 15/10/2014 às 16:35 | leituras |

O Dropbox enfrentou problemas no último fim de semana e alguns arquivos de usuários foram apagados. A instabilidade afetou somente versões mais antigas do software do serviço para computadores.

Falha ameaça todas as versões do Windows desde o Vista

Publicado em: 15/10/2014 às 11:54 | leituras |

Vulnerabilidade foi usada por criminosos em ataques contra Otan, governos europeus e companhias de energia e telecomunicações.

Adolescentes veem futuro na programação

Publicado em: 15/10/2014 às 10:46 | leituras |

No dia 7, a Microsoft promoveu oficinas com 300 alunos de colégios públicos e privados de São Paulo para incentivar o estudo da programação. A iniciativa faz farte da campanha "Eu Posso Programar", que pretende ensinar noções básicas a mais de um milhão de jovens na América Latina.

Netflix chega ao Linux

Publicado em: 15/10/2014 às 8:52 | leituras |

A Netflix enfim está disponível para usuários do Linux que usem Ubuntu e o navegador Chrome a partir da versão 37.

Google implementa caixa de buscas para Pirate Bay

Publicado em: 14/10/2014 às 15:57 | leituras |

O Google acaba de tomar um passo que promete irritar organizações que defendem estúdios de Hollywood, como a RIAA e a MPAA.

InterCon 2014 já tem data marcada: 15 de novembro

Publicado em: 14/10/2014 às 11:21 | leituras |

As inscrições para o InterCon 2014 já estão abertas e são limitadas.

Microsoft lança acessório que carrega aparelhos totalmente sem fios

Publicado em: 14/10/2014 às 9:51 | leituras |

Novo carregador também possui indicadores de LED para mostrar os níveis de bateria e tecnologia de carregamento rápido que oferece.

Baidu compra Peixe Urbano

Publicado em: 13/10/2014 às 12:26 | leituras |

Chinesa se comprometeu a investir R$ 120 milhões no Brasil em três anos.

65 empresas têm inscrições abertas para estágio e trainee

Publicado em: 13/10/2014 às 12:01 | leituras |

Amanhã é o último dia para se inscrever nos programas de estágio do Facebook e da Petrobras Distribuidora. GE recruta trainees de administração e engenharia.

Hackers dizem ter 200 mil fotos íntimas obtidas no Snapchat

Publicado em: 13/10/2014 às 10:58 | leituras |

No fórum 4chan, hackers afirmam que obtiveram 200 mil fotos compartilhadas pelo Snapchat, incluindo muitas de pessoas nuas.

São Paulo terá 1º curso de Engenharia de Inovação

Publicado em: 10/10/2014 às 12:33 | leituras |

O Instituto Superior de Inovação e Tecnologia (Isitec) terá, a partir de 2015, a primeira, e ainda única, graduação em Engenharia de Inovação do Brasil. É um projeto completamente diferente de tudo o que existe no país. Além de focar no novo perfil desejado para o profissional de engenharia, o Isitec prioriza o aprendizado do estudante.

Google terá rede de cabos submarinos no Brasil

Publicado em: 10/10/2014 às 12:03 | leituras |

O Google anunciou nesta quinta-feira, 09/10, a construção de um cabo de fibra óptica marítima que conectará Santos (SP) e Fortaleza (CE) à cidade de Boca Raton, na Flórida (Estados Unidos). De acordo com a empresa, o empreendimento vai beneficiar a infraestrutura de internet de toda a América Latina.

Microsoft contribui com o Projeto Open Compute

Publicado em: 29/09/2014 às 16:41 | leituras |

Anunciamos que a Microsoft está se juntando ao OCP, uma comunidade focada em engenharia voltada para o desenvolvimento de hardware mais eficiente para a nuvem e para computação de alto desempenho por meio de colaboração aberta.

ERP livre: ADempiere na Supply Service

Publicado em: 28/09/2014 às 18:30 | leituras |

Confira a entrevista de Gabriela Oppermann e Antônio Pregnolato, respectivamente Diretora Comercial e Gerente de TI do Grupo Supply Service, sobre a escolha e o uso da solução integrada de gestão empresarial de código aberto ADempiere na empresa.

Próxima edição do 7Masters vai abordar iOS

Publicado em: 19/09/2014 às 16:47 | leituras |

Como sempre, 7 profissionais experientes falarão, em no máximo 7 minutos, sobre diversos assuntos dentro do tema - desta vez, iOS.

HP vai adquirir Eucalyptus, startup de software em cloud computing

Publicado em: 16/09/2014 às 5:22 | leituras |

Os valores da negociação não foram divulgados.

A Linux Magazine convida você para o WHD.brazil 2014

Publicado em: 08/09/2014 às 16:04 | leituras |

Fornecedores do mercado internacional de hospedagem e computação em nuvem vão se encontrar na América Latina para o WHD.brazil, evento anual que sera realizado no Tivoli São Paulo Mofarrej no dia 11/09/2014. Como convidado da Linux Magazine, você vai de graça!

Mandriva lança no Brasil solução para virtualização e nuvem

Publicado em: 08/09/2014 às 12:48 | leituras |

Ferramenta chamada de Mandriva MBS eVA chega com capacidade para realizar a gestão de até 6 mil máquinas virtuais

Webinar gratuito: por dentro do Apache CloudStack

Publicado em: 05/09/2014 às 14:04 | leituras |

Evento online acontece dia 16 de setembro às 17h e será ministrado por Marco Sinhoreli, líder das comunidades CloudStack-BR e Xen-BR.


Mais notícias


lançamento!

LM 114 | CloudStack




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 216839 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 124344 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 112869 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 105478 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 83835 leituras

  1. Pidgin 2.7.0 apresenta correções de segurança

    Publicado em 18/05/2010 às 10:31 | 3639 leituras

  1. Alta Books e Medialinx Brasil celebram acordo de edição e distribuição

    Publicado em 12/12/2013 às 15:54 | 8408 leituras

  1. Cloud Foundry no Ubuntu 11.10

    Publicado em 19/08/2011 às 9:33 | 7464 leituras

  1. Organizadores da CeBIT anunciam feira no Brasil em dois anos

    Publicado em 18/09/2008 às 19:58 | 4317 leituras

  1. Linux Mint 10 é lançado

    Publicado em 20/10/2010 às 16:13 | 4331 leituras

whitepapers

mais whitepapers