Menú principal

sábado, 15 de marzo de 2014

Apple Safari también cayó en el Pwn2Own de ayer

Está teniendo lugar el famoso concurso Pwn2Own donde los exploiters compiten por encontrar 0days en los productos que se les presentan en competición obteniendo premios económicos que ya superan el 1.000.000 de dólares. En el primer día de la competición cayeron muchos de los productos y a las 10 de la mañana del segundo día, tal y como cuentan en Naked Security, Apple Safari fue el siguiente en caer en la competición oficial.

Esperemos que en la nueva release de OSX 10.9.3 que convenientemente Apple no ha sacado antes del Pwn2Own para poder cerrar eventualmente nuevos bugs, corrija este fallo descubierto en sus sistemas y cualquiera que afecte a Oracle Java 6, que no olvidemos que aún distribuye Apple ese software para equipos con versiones OS X anteriores.

Figura 1: Resultados del día 2 en la competición oficial

La nota curiosa la pusieron los equipos de HP y Google que compitieron fuera de concurso contar Apple Safari e Internet Explorer, encontrando ambos la forma de lanzar la calculadora del sistema con un 0day. Lo curioso es que el equipo de Google, que atacaba a Apple Safari, la sacó en modo científico para demostrar que ellos eran los ganadores consiguiendo no solo ejecución remota sino elevación de privilegios.

Figura 2: La calculadora científica en el exploit de Apple Safari

Aunque muchos dijeron que el exploit 0day que encontraron para Apple Safari en las versiones de OS X no funcionaría porque se requeriría interacción con el usuario e introducción de contraseña para conseguir la elevación de privilegios, el equipo de Google demostró que no y dejó claro que su exploit también conseguía ejecución de código y elevación de privilegios en Apple Safari sobre OS X sin interacción con el usuario.

Figura 3: Resultados por tecnología y premios pagados a los exploits

Al final el que más veces acabó tumbado con 0days fue Mozilla Firefox que sufrió 4 pwned! pero todos se llevaron lo suyo, por lo que se esperan actualizaciones pronto de Oracle Java, Mozilla Firefox, Google Chrome, Apple Safari, Adobe Flash Acrobat Reader, ya que de todos se ha conseguido encontrar exploits de ejecución remota de código.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares