Pwn2Own 2012: Chrome averguenza, IE y Firefox KO

Para quien no lo sepa, el Pwn2Own es un concurso anual sobre seguridad informática en el que se ponen a prueba los navegadores Web y los sistemas operativos más comunes. El concurso, no solo supone cuantiosos premios en metálico para los concursantes, sino que además está orientado a mejorar la seguridad de los navegadores y los SO en cuestión, ya que los concursantes están obligados a compartir con los programadores de los respectivos productos TODA la información relevante sobre los métodos usados, las vulnerabilidades encontradas y cualquier otro por menor.

Cada año, las bases del concurso suelen ser ligeramente diferente, los objetivos suelen variar a sí como los premios percibidos. Si bien el año pasado participaron en el concurso navegadores y sistemas operativos de terminales portátiles, este año se han quedado fuera. Las normas de este año son muy simples:

-Navegadores Usados: Mozilla Firefox 10, Microsoft Internet Explorer 9, Google Chrome 17 y  Apple Safari

-Sistemas Operativos: Windows 7 y MAC OS Lion

-Objetivo: Lograr un exploit de ejecución remota haciendo que cualquiera de los navegadores instalados en cualquiera de los sistemas visite un enlace proporcionado por el concursante. El código arbitrario invocado será siempre la ejecución de la calculadora del sistema.

 

Existen dos categorías:

-Exploit Zero-Day: Es decir, el concursante tiene que ser capaz de realizar una ejecución remota en uno de los sistemas TOTALMENTE parcheado y actualizado hasta la fecha del comienzo del concurso.

-Exploits publicados: En esta categoría, se han preparado sistemas XP (para Chrome, Firefox e Internet Explorer 8) y MAC OS Snow Leopard (para Safari)  dejando 2 vulnerabilidades de cada navegador abiertas (sin parchear), es decir se han dejado “abiertas” dos vulnerabilidades de Firefox, de Chrome/Safari (los dos usan el mismo motor) y de Internet Explorer. La idea en este caso es ser capaz de crear el exploit en el tiempo que dure el evento para esas vulnerabilidades en esos sistemas.

Para la primera categoría, se asignarán 32 puntos por cada éxito que se obtenga sin importar el día en el que se logre, para la segunda 10 puntos si se realiza en el primer día, 9 en el segundo y 8 si se realiza el último día.

 

Hay que tener en cuenta algo igual de importante, y es de nuevo la preparación o no preparación que los fabricantes acuden al concurso. En el concurso se entregan sistemas totalmente parcheados hasta el mismo día en el que comienzan. Es decir que los fabricantes de software (Mozilla, Google, Apple o Microsoft) tienen en teoría hasta ese mismo día para parchear sus sistemas. Esto es de suma importancia dado que un concursante podría llevar semanas preparando un exploit y el fabricante aprovechar el último día para tapar el agujero de seguridad. Luego es justo ver que es lo que ha hecho cada desarrllador con sus productos en estas últimas semanas en tanto a actualización de vulnerabilidades se refiere:

Mozilla Firefox

Apple Safari

Microsoft Internet Explorer

Google Chrome

Apple MAC OS X

Microsoft Windows 7

2

2

4

34

49

7

 

Mozilla Firefox:

Page 1 of 3 | Next page