Internet Explorer 9 y 10 hackeados en el Pwn2Own 2012

Los navegadores web de Microsoft tampoco han resistido los ataques en el concurso hacker Pwn2Own 2012 de la conferencia de seguridad CanSecWest que se celebra en Canadá.

Y lo ha conseguido utilizando dos exploits 0day, el mismo equipo que ayer consiguió hackear el Chrome, los investigadores de la compañía de seguridad VUPEN, que tras el segundo hack se alza como uno de los claros favoritos al título.

Los investigadores franceses utilizaron bugs sin parchear que provocan un desbordamiento de pila y un fallo de corrupción en la memoria que permite saltar la seguridad del modo protegido de Internet Explorer, similar al sandbox del Chrome.

El ataque de ejecución de código no requiere intervención del usuario más allá de la navegación a una página web fraudulenta. El ataque funciona en todas las versiones de Internet Explorer incluyendo la versión 10 en fase beta incluida en Windows 8.

VUPEN indicó que dos de sus investigadores habían estado trabajando seis semanas a tiempo completo en el exploit de IE9 para el Pwn2Own 2012, un concurso que sirve principalmente para aumentar la seguridad del software, ya que investigadores y hackers están obligados a facilitar toda la información al desarrollador para que las vulnerabilidades sean subsanadas.

De hecho, el mismo Google dice haber parcheado ya su navegador web contra los dos exploits zero-day utiizados por VUPEN para hackear el Chrome ayer.