Pwn2Own 2012: Chrome averguenza, IE y Firefox KO

Share on Google+Share on FacebookTweet about this on Twitter

Para quien no lo sepa, el Pwn2Own es un concurso anual sobre seguridad informática en el que se ponen a prueba los navegadores Web y los sistemas operativos más comunes. El concurso, no solo supone cuantiosos premios en metálico para los concursantes, sino que además está orientado a mejorar la seguridad de los navegadores y los SO en cuestión, ya que los concursantes están obligados a compartir con los programadores de los respectivos productos TODA la información relevante sobre los métodos usados, las vulnerabilidades encontradas y cualquier otro por menor.

Cada año, las bases del concurso suelen ser ligeramente diferente, los objetivos suelen variar a sí como los premios percibidos. Si bien el año pasado participaron en el concurso navegadores y sistemas operativos de terminales portátiles, este año se han quedado fuera. Las normas de este año son muy simples:

-Navegadores Usados: Mozilla Firefox 10, Microsoft Internet Explorer 9, Google Chrome 17 y  Apple Safari

-Sistemas Operativos: Windows 7 y MAC OS Lion

-Objetivo: Lograr un exploit de ejecución remota haciendo que cualquiera de los navegadores instalados en cualquiera de los sistemas visite un enlace proporcionado por el concursante. El código arbitrario invocado será siempre la ejecución de la calculadora del sistema.

 

Existen dos categorías:

-Exploit Zero-Day: Es decir, el concursante tiene que ser capaz de realizar una ejecución remota en uno de los sistemas TOTALMENTE parcheado y actualizado hasta la fecha del comienzo del concurso.

-Exploits publicados: En esta categoría, se han preparado sistemas XP (para Chrome, Firefox e Internet Explorer 8) y MAC OS Snow Leopard (para Safari)  dejando 2 vulnerabilidades de cada navegador abiertas (sin parchear), es decir se han dejado “abiertas” dos vulnerabilidades de Firefox, de Chrome/Safari (los dos usan el mismo motor) y de Internet Explorer. La idea en este caso es ser capaz de crear el exploit en el tiempo que dure el evento para esas vulnerabilidades en esos sistemas.

Para la primera categoría, se asignarán 32 puntos por cada éxito que se obtenga sin importar el día en el que se logre, para la segunda 10 puntos si se realiza en el primer día, 9 en el segundo y 8 si se realiza el último día.

 

Hay que tener en cuenta algo igual de importante, y es de nuevo la preparación o no preparación que los fabricantes acuden al concurso. En el concurso se entregan sistemas totalmente parcheados hasta el mismo día en el que comienzan. Es decir que los fabricantes de software (Mozilla, Google, Apple o Microsoft) tienen en teoría hasta ese mismo día para parchear sus sistemas. Esto es de suma importancia dado que un concursante podría llevar semanas preparando un exploit y el fabricante aprovechar el último día para tapar el agujero de seguridad. Luego es justo ver que es lo que ha hecho cada desarrllador con sus productos en estas últimas semanas en tanto a actualización de vulnerabilidades se refiere:

Mozilla Firefox

Apple Safari

Microsoft Internet Explorer

Google Chrome

Apple MAC OS X

Microsoft Windows 7

2

2

4

34

49

7

 

Mozilla Firefox:

En lo que vamos de año, Mozilla tan solo ha tenido que enfrentarse a dos vulnerabilidades, parcheadas en dos entregas diferentes, el 13 y el 17 de Febrero. Ambas fueron subsanadas prácticamente al momento de conocerse. Desde entonces no ha sacado ningún otro parche de seguridad. El año pasado días antes del Pwn2Own sí respondió con la corrección de varios fallos de seguridad, este año tan solo lleva en su cuenta dos boletines, y por ello le damos la corona de oro en esta ocasión. Podemos decir que este año ha participado sin hacer “trampas”

 

Apple Safari:

En lo que lleva de año tan solo han sido publicado dos boletines de seguridad (todo un record para Safari), no obstante Apple de nuevo ha sido un chico malo, y aprovechó hasta el último minuto de que comenzase el concurso para publicarlos, el 7 de Marzo, es decir el mismo día que comenzó el concurso. Este mismo comportamiento lo vimos realizar el año pasado a gran escala, de nuevo apuró hasta el último momento para lanzar una macro actualización. De cara a Safari no ha sido mucho, pero sin duda han aprovechado hasta el último momento. Aun así no ha sido el peor parado ni mucho menos, este año como hemos dicho Safari se ha comportado.

 

Microsoft Internet Explorer:

Page 1 of 3 | Next page