Vulnerabilidades

En estos días se está celebrando la CanSecWest en Vancouver (Canadá), una conferencia de seguridad en la que se celebra el Pwn2Own, una competición en la que los participantes deben explotar las vulnerabilidades de determinadas aplicaciones y, en el caso de encontrarlas, se envía un completo informe al fabricante de la aplicación para que lo tenga en cuenta en sucesivas evoluciones. Este año, la competición de hacking ético se ha centrado en los navegadores y, según reportan, durante el primer día cayeron dos navegadores: Safari e Internet Explorer 8.

Pues sí, según las crónicas, en el primer día cayeron las últimas versiones estables, y actualizadas, de Safari e Internet Explorer 8, y eso que se esperaba cierta resistencia gracias a la tecnología de sandboxing que los navegadores están incluyendo. El primero en caer fue Safari 5.0.3 sobre Mac OS X 10.6.6 gracias a la firma francesa de seguridad VUPEN que fue la primera en atacar y, en cinco segundos de exposición del navegador a una página cargada de código malicioso, logró sobrepasar el sandbox, ejecutar la calculadora y escribir un archivo en el disco duro del equipo. De todas formas hay un «pero» asociado a esta prueba ya que la configuración de los escenarios quedó fijada hace una semana y, en el caso de Safari, no se ha aplicado el parche que Apple publicó recientemente, por lo que realmente estaba bastante expuesto.

El siguiente navegador en ser «sometido al fuego» fue Internet Explorer 8, concretamente sobre un Windows 7 de 64 bits con el Service Pack 1 instalado y que, también, fue vencido por el primero de los participantes, Stephen Fewer de Harmony Security que logró ejecutar la calculadora de Windows y escribir en el disco duro del equipo, mediante un ataque que, según este experto en seguridad, tardó cinco semanas en modelar y que explotaba, de manera conjunta, tres vulnerabilidades del navegador.

El tercero de los navegadores que fueron testeados fue Google Chrome pero, tras los intentos de los participantes, el navegador de Google no pudo ser vencido y eso que Google ya comentó que otorgaría un premio extraordinario al que fuese capaz de encontrar una vulnerabilidad a su navegador, aunque claro está, lanzaron antes de la competición una actualización que corregía 24 vulnerabilidades.

En el día de hoy, la competición se centrará en Firefox y en el mundo de los smartphones (iOS, Android, BlackBerry OS y Windows Phone 7), así que las conclusiones, también, prometen ser interesantes.

Imagen: TekCrispy