Todos los principales navegadores web, incluidos Chrome, Firefox, Internet Explorer y Safari, fueron bloqueados durante los dos días del concurso Pwn2Own de este año realizado por Zero Day Initiative de HP (ZDI)..

Se encontraron dos vulnerabilidades en Google Chrome, que incluyen un bypass de sandbox y un error de lectura / escritura arbitrario, lo que resultó en la ejecución del código. Este último se consideró una victoria parcial, ya que parte de ella se descubrió anteriormente en Pwnium.

En Microsoft Internet Explorer se descubrieron tres errores gratuitos después del uso gratuito y un error del kernel que permitía abrir la calculadora del sistema..

En Mozilla Firefox se encontraron dos errores de lectura / escritura fuera de enlace que dieron como resultado la ejecución del código, así como un error de uso después de la liberación que permite una derivación de la zona de pruebas. Se encontraron dos problemas más que permiten la escalada de privilegios dentro del navegador y una omisión de medidas de seguridad.

En Apple Safari se detectaron un desbordamiento del montón y un bypass en el sandbox que dio como resultado la ejecución del código..

No era todos los navegadores web tampoco. Se descubrió otro desbordamiento del montón y una derivación de la zona de pruebas en Adobe Flash y Adobe Reader, así como una derivación de la zona de pruebas de Internet Explorer libre después de usar en Flash.

De propiedad

Los patrocinadores de la competencia, Google y ZDI, también mostraron algunos errores que encontraron como parte de la parte Pwn4Fun del evento, que probablemente no fue muy divertido para los fabricantes de navegadores seleccionados..

Google demostró cómo podría explotar Safari para abrir la Calculadora como root en Mac OS X, mientras que ZDI lanzó la Calculadora Científica utilizando un exploit de derivación en un sandbox en Internet Explorer.

Se pagó un total de $ 850,000 a los ganadores durante los dos días, además de computadoras portátiles, puntos ZDI y otros premios. Google y ZDI también entregaron $ 82,500 a la Cruz Roja Canadiense..

Todas las vulnerabilidades descubiertas se informaron a las compañías respectivas para que se puedan abordar en parches futuros..

A través de ZDNet

  • ¿Qué navegador debería estar usando??