Google Chrome sobrevive a Pwn20wn

Escrito por Carlos a 25 Marzo, 2010 en Comparativas y Eventos y Navegadores y Seguridad - 2 comentarios

Los mejores Hackers del mundo participan en el concurso Pwn2Own que se celebra en Vancouver (Canadá) del 24 al 26 de Marzo. Han conseguido hackear Internet Explorer 8, Mozilla Firefox 3 y Safari 4 en el primer día del concurso, pero no Google Chrome. En este concurso se emplean los últimos sistemas operativos y los navegadores en las últimas versiones.

La primera víctima fue Safari 4, bajo Mac OS X 10.6 Snow Leopard, su asesino ha sido Charlie Miller (hackea Safari por 3º año consecutivo).

Luego fue el turno de Internet Explorer 8 en Windows 7. Peter Vreughenhil, utilizó un ataque en el que tubo que omitir el DEP (Data Execution Prevention) y el ASLR (Address Space Layout Randomization) después de que una persona visitara la web infectada con el código de ejecución de la vulnerabilidad. El holandés tardó menos de una semana en escribir el código del programa.

Por último Mozilla Firefox 3 también se cayó en Windows 7 64 bits. Nils, un hacker alemán explotó una vulnerabilidad de corrupción de memoria, para la que también tubo que saltarse el DEP y ASLR, y utilizo calc.exe. Este estudiante alemán ya ha hackeado IE 8, Firefox y Safari en otras ediciones anteriores. Afirma que podría haber utilizado cualquier otro proceso para demostrar la vulnerabilidad.

El único que no fue hackeado, debido a que nadie lo intentó, fue Google Chrome. Charlie Miller afirma que existen errores en Chrome , pero estos son dificiles de explotar. El hacker tiene un modelo de sandbox del que es difícil de salir.

Todos los detalles de las vulnerabilidades explotadas en el concurso no se darán a conocer hasta que los desarrolladores de los navegadores no actualicen su navegador con un parche de seguridad que los corrija.

Aun queda un día del concurso, ¿Será hackeado Google Chrome? Si chrome quedase invicto, no volveremos a dudar de su seguridad y elaboración. De momento esperaremos a que finalice el concurso.

via|techspot