Soluciones
Safari e IE8 caen los primeros en la competición pwn2own
La competición de hacking pwn2own que está teniendo lugar en la conferencia de seguridad CanSecWest ha dejado claro que aún actualizando del todo los navegadores más modernos sigue habiendo agujeros de seguridad en casi todos ellos.
De hecho, Safari fue el primero en caer en pocos minutos, mientras que Internet Explorer 8 también sufrió los ataques de los expertos en seguridad para ceder ante esas técnicas poco después. El único que por el momento resiste los ataques es Google Chrome.
Estas conferencias de seguridad, celebradas en Vancúver estos días, son ya muy conocidas por estas competiciones en las que expertos en seguridad tratan de poner a prueba las barreras que imponen los navegadores a posibles ataques de hackers y crackers.
En este caso Safari fue el primero en caer: un equipo de investigadores de la empresa de seguridad VUPEN lograronaprovechar un exploit para sacar partido de una vulnerabilidad de tipo zero-day en el navegador de Apple para ganar la competición de este año.
El co-fundador de VUPEN Chaoki Bekrar atacó al MacBook con Safari totalmente actualizado para hacer que a través de un sitio web especialmente configurado para sacar provecho del exploit se pudieran ejecutar todo tipo de tareas en el equipo víctima.
Como señalan en ZDNet se indica que la vulnerabilidad está presente en WebKit, y que costó dos semanas encontrar la vulnerabilidad e implementar un exploit funcional. Eso les permitió ganar los 15.000 dólares y el MacBook Air que se concedían al primero que lograse romper la seguridad de cualquiera de los navegadores puestos en escena para la competición.
Safari no ha sido el único en caer: Internet Explorer 8 cayó tras el ataque de Stephen Fewer, de Harmony Security. Para lograr aprovechar el exploit Fewer explicó que tuvo que sacar partido de tres vulnerabilidades distintas: dos para poder ejecutar código en el navegador, y una tercera para evitar el sandbox del modo protegido de Internet Explorer. Fewer tardó nada menos que seis semanas para lograr un ataque efectivo.
El único navegador que aún no ha caído ha sido Google Chrome, pero aquí han tenido que ver dos factores: uno, que el concursante que teóricamente se iba a presentar para demostrar su exploit finalmente no se ha presentado, y dos, que Google lanzó ayer una actualización en la que corrigió al menos 24 vulnerabilidades de distintos tipos.
Lo que queda claro es que el tiempo necesario para lograr exploits funcionales demuestra que sistemas de protección como DEP y ASLR son muy útiles: una cosa es encontrar vulnerabilidades en el navegador, y otra muy distinta es convertirlas en un ataque real que pueda tener éxito en sistemas actualizados.
Ahora queda por ver si Firefox también logra resistir los ataques -hoy era el día en que se ponía a prueba el navegador de Mozilla- y también si los navegadores móviles pueden garantizar cierto nivel de seguridad.