Menú principal

domingo, 22 de marzo de 2015

2 bugs en Apple Safari le hacen caer en el Pwn2Own junto al resto de los navegadores

Este fin de semana ha tenido lugar el popular concurso de exploiting Pwn2Own 2015. Este concurso inicialmente premiaba a los concursantes con el dispositivo que habían sido capaces de explotar, pero a día de hoy cuenta con cuantiosos premios. Entre los navegadores, Apple Safari cayó el segundo día gracias a una vulnerabilidad de Use-After-Free y una evasión de la Sandbox. Dicho ataque fue hecho por un investigador en solitario y se llevó la cantidad de 50.000 USD por la proeza, tal y como se explica en el vídeo de HP Security Research


Figura 1: Resumen del segundo día de Pwn2Own 2015

Las vulnerabilidades de Use-After-Free han hecho daño en el pasado a Apple Safari, y el investigador de seguridad argentino Nico Waisman - que dio una charla en BlackHat explicando en qué consisten estas vulnerabilidades - nos escribió en un artículo explotando un 0day de Use-After-Free en Apple Safari.


Figura 2: Aleatory Persistent Threat by Nico Waisman

En total han sido 2 CVEs que Apple Safari deberá parchear en breve, así que hemos de esperar a que pronto tengamos actulizaciones de seguridad. No hay que olvidar que estas vulnerabilidades, una vez conocidas es probable que pasen a formar parte de arsenales de pentesters, APTs y crimeware en general, así que habrá que tener cuidado. Recordad que cambiar de navegador no es una opción ya que han caído todos.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares