El concurso Pwn2Own que se está celebrando en Canada ha permitido averiguar que Internet Explorer 8, Firefox, Safari y el iPhone contienen vulnerabilidades de seguridad fáciles de saltarse por los que más saben.
Charlie Miller, principal analista de seguridad de la compañía Independent Security Evaluators y el hacker más relevante sobre Safari en los últimos años, ha ganado los 10.000 dólares de premio por hackear el navegador web de Apple corriendo sobre un MacBook Pro con Snow Leopard, sin tener acceso físico a la máquina. Miller no ha detallado a la prensa detalles del fallo de seguridad ni el método empleado aunque sí informará –como es obligado en el concurso- a la compañía afectada.
En cuanto a Internet Explorer 8 fue hackeado en una máquina corriendo Windows 7 por un investigador holandés (que ha ganado otros 10.000 dólares) mediante dos exploits en un ataque de cuatro partes evitando ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) para hacerse con el control de la máquina.
“Nils” un investigador de seguridad británico que ganó el pasado año en Alemania otro concurso contra IE8, Safari y Firefox, ha sido otro de los vencedores en Vancouver tras explotar una vulnerabilidad de corrupción de memoria en Firefox y también pasar por encima de ASLR y DEP de Windows 7.
Además de los navegadores, otros dos investigadores han podido con un iPhone mediante un exploit que fue diseñado para robar la base de datos de SMS evitando los códigos de las firmas digitales del terminal de Apple.