lunes, 11 de marzo de 2013

Google y Mozilla hacen los deberes en el Pwn2Own 2013

Un año más, se ha celebrado Pwn2Own, donde se han vuelto a revelar vulnerabilidades para los principales navegadores en diferentes sistemas operativos. Como novedad, este año también se han incluido premios para los que descubriesen fallos en los plugins. Google y Mozilla ya han solucionado los fallos encontrados.

Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos. Pwn2Own, que se celebra en la ciudad canadiense de Vancouver, está patrocinado por la empresa Zero Day Initiative ZDI, una compañía que se encarga de poner en contacto a investigadores de seguridad y compañías de software para garantizar una publicación coordinada de vulnerabilidades. Como novedad, este año también han ofrecido premios para los que demuestren diferentes fallos en los plugins más atacados: Adobe Reader, Flash y Java.

Los premios se reparten de esta manera, y todos han sido concedidos ya:

  • 100.000 dólares por ejecutar código a través de Google Chrome en Windows 7.
  • 100.000 dólares por ejecutar código a través de Internet Explorer 10 en Windows 8.
  • 75.000 dólares por ejecutar código a través de Internet Explorer 9 en Windows 7.
  • 60.000 dólares por ejecutar código a través de Firefox en Windows 7.
  • 65.000 dólares por ejecutar código a través de Apple Safari en OS X Mountain Lion.
  • 70.000 por ejecutar código a través del plugin Adobe Reader XI en IE9 bajo Windows 7.
  • 70.000 por ejecutar código a través del plugin Adobe Flash en IE9 bajo Windows 7.
  • 20.000 por ejecutar código a través del plugin Java en IE9 bajo Windows 7.

La cuantía de los premios da una idea de la dificultad asignada a cada caso.

En el primer día de Pwn2Own ya "caían" (se demostraba un problema de ejecución de código en la última versión) los navegadores Firefox y Chrome. Más tarde todos los desafíos serían cumplidos. VUPEN, que comprometió IE10, Firefox y Java, es el equipo que más premios ha acaparado. De Java, se han encontrado hasta cuatro nuevas formas de eludir su seguridad en su última versión.

La respuestas más rápidas por parte de Mozilla y Chrome han nuevas versiones de sus navegadores que arreglan los fallos al día siguiente.

Mozilla: Mozilla FoundationSecurity Advisory 2013-29, boletín que soluciona la vulnerabilidad Use-after-free en el editor HTML reportado por VUPEN Security y que podría causar ejecución de código arbitrario, vulnerabilidad identificada como CVE-2013-0787. Afecta a los productos Firefox, Thunderbird, SeaMonkey y es arreglada en las versiones Firefox 19.0.2, Firefox ESR 17.0.4, Thunderbird 17.0.4, Thunderbird ESR 17.0.4, SeaMonkey 2.16.1.
Google: Publica actualización deGoogle Chrome 25.0.1364.160 que soluciona la vulnerabilidad Type confusion en Webkit reportado por Nils y Jon de MWR Labs y que podría causar ejecución de código arbitrario, vulnerabilidad identificada como CVE-2013-0912.

Más información:

Pwn2Own 2013

Chrome releases: Stable Channel Update

Mozilla Foundation Security Advisory 2013-29
  


Fernando Castillo

Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada