Pwon2Own 2010: Chrome é o vencedor

26/03/2010


A Pwon2Own é um evento super tradicional e competitivo na informática. Todos os anos hackers reúnem-se para invadir sistemas operacionais explorando brechas de navegadores. Nesse ano a competição está sendo realizada em Vancouver, Canadá e mostra resultados similares aos de 2009.

Até agora os navegadores que não conseguiram segurar a pressão foram o Safari 4 no Mac OS X 10.6, o Internet Explorer 8 no Windows 7 e o Firefox 3.  E pelo terceiro ano consecutivo, Charlie Miller hackeou novamente um MacBook. Para tal feito ele simplesmente montou uma página, que foi acessada por um organizador da conferência usando o Safari no Snow Leopard.

Já o holandês Peter Vreugdenhil derrubou o Internet Explorer 8 no Windows 7, e o alemão Nils o Firefox 3.6. Ambos desativaram as proteções Address Space Layout Randomization¹ (ASLR) e Data Execution Prevention² (DEP) no Windows 7 para o ataque ser realizado.

O único que aguentou o tranco foi o Google Chrome, mesmo porque ninguém tentou invádi-lo. No ano passado Charlie Miller falou um pouco de uma invasão no navegador:

“Existem alguns bugs no Chrome,  mas eles são difíceis de se explorar. Tenho uma vulnerabilidade do Chrome bem aqui, mas não sei como explorá-la. É bem difícil. Eles têm aquele modelo de sandbox, que é complicado de burlar. Com o Chrome, é uma combinação de fatores – você não consegue executar na pilha, nas proteções do sistema operacional (Windows) e na sandbox.”

Miller relata que…:

“Segundo o relato do ComputerWorld, Miller estava especialmente desapontado com a facilidade em achar defeitos nos programas. “Eu fiz o trabalho trivial e ainda achei bugs.” O pesquisador acha que as equipes de segurança das empresas não trabalham direito, por isso na CanSecWest ele buscou apresentar como achou os bugs, em vez de indicar quais são eles. Um pesquisador com três computadores não deveria superar os esforços de equipes inteiras, disse.”

“Entre todos os navegadores e sistemas operacionais, o alvo mais difícil é o Firefox no Windows. Com o Firefox no Mac OS X, você pode fazer o que quiser. Não há nada no sistema operacional do Mac que o impedirá.”

Os caçadores de bugs que tiveram sucesso levaram para casa o notebook usado em teste (MacBook Pro 15″, HP Envy Beats 15″, Sony Vaio 13″ e Alienware M11x), US$ 10 mil e 20000 ZDI points, uma viagem a DefCon em Las Vegas.

Os fabricantes irão ter acesso as falhas descobertas e exploradas para trabalharem em uma solução. Depois que os erros forem corrigidos os mesmos serão divulgados.

Via Gizmodo, WinAjuda

Address Space Layout Randomization¹ (ASLR) é uma técnica de segurança do computador que envolve aleatoriamente organizar as posições das principais áreas de dados, em geral, incluindo a base do executável e posição das bibliotecas, pilha e pilha, em um processo de espaço de endereço. – Wikipedia
Data Execution Prevention² (DEP) é um recurso de segurança incluído nos sistemas Microsoft Windows operacional que visa impedir que um aplicativo ou serviço de execução de código de uma região de memória não-executável. Isso ajuda a evitar determinadas façanhas que o código através de uma loja de estouro de buffer, por exemplo. DEP funciona em dois modos: DEP aplicada por hardware para CPUs que pode marcar as páginas de memória não-executável, e DEP imposta por software com uma prevenção limitada para CPUs que não têm suporte de hardware. DEP imposta por software não proteger da execução de código em páginas de dados, mas sim de outro tipo de ataque (substituir SEH). – Wikipedia
About these ads

3 Responses to “Pwon2Own 2010: Chrome é o vencedor”

  1. Axys Says:

    Não sei porque mas eu não curto muito o Google Chrome.

    • Gean Says:

      já eu curto bastante..

      ele é bem leve e fácil de mexer..

      ele usa 100% da sua conexção..

      os flashs ficam mais rápidos.. e etc..

  2. Jean Says:

    E o Opera? Pra mim, esse é o melhor navegador da web!


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 59 outros seguidores

%d blogueiros gostam disto: