Menú principal

martes, 15 de marzo de 2011

VUPEN publica los bugs de Safari después del Pwn2Own

El equipo de seguridad de VUPEN Security ha publicado en Bugtraq tres expedientes de seguridad que afectaban a las versiones anteriores de Apple Safari. Hay que recordar que para el concurso Pwn2Own había que hackear una versión de Apple Safari versión 5.0.3, ya que días antes del concurso se congelan las versiones a utilizar.

Apple publicó la actualización de Safari a la versión 5.0.4 el día 9 de Marzo, es decir, el día antes del concurso, pero el equipo de VUPEN ha preferido publicar los expedientes de seguridad una vez terminada esta edición de Pwn2Own. Tal vez fuera para no dar más pistas de las necesarias sobre lo ya investigado a los oponentes del concurso.

Los investigadores de VUPEN, que fueron los que ganaron el concurso y 15.000 USD,  reconocieron que les llevó 2 semanas de trabajo preparar un exploit funcional para la vulnerabilidad que les dio la victoria y ayer han sido publicadas todas en BugTrag. Los expedientes de seguridad liberados son:


Este tipo de vulnerabilidades, vimos cómo se podían explotar con herramientas automatizadas como CANVAS para tomar control de toda la red. En aquel ejemplo se utilizó otra vulnerabilidad de tipo use-after-free.

El impacto que ha tenido este trabajo se está dejando ver en los foros de Apple, donde hay muchos usuarios pidiendo explicaciones a Apple por estos malos resultados en seguridad. Lee y asómbrate.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares