En Vancouver, Canadá, se viene celebrando la quinta edición del concurso Pwn2Own, el cual se celebra todos los años entre los días 9 a 11 de marzo, y donde participan los mejores hackers del mundo para encontrar vulnerabilidades en los diferentes navegadores, como Safari, Internet Explorer, Mozilla Firefox y Google Chrome. }

Para sorpresa de todos, el primero en caer fue Safari, de Apple, el cual estaba ejecutándose en una MacBook Air de 13 pulgadas, que corría la última versión de Mac OS X de 64 bits.

Los responsables del hackeo fueron hackers franceses llamados VUPEN, quienes ejecutaron la calculadora y escribieron un archivo en disco desde el navegador, cinco segundos después de visitar una página web especialmente diseñada, y además sin colgar el navegador Safari, su exploit se saltó los sistemas de seguridad ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) incluidos en Mac OS X.

Stephen Fewer, investigador de seguridad irlandés, fue el responsable de hackear Internet Explorer 8 ejecutándose con Windows 7 SP1 de 64 bits. Fewer utilizó dos vulnerabilidades de seguridad de IE para ejecutar código remoto y encadenó una tercera vulnerabilidad para salir de la sandbox del modo protegido de IE. Este exploit también fue capaz de saltarse los sistemas de seguridad DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization).

Obviamente y por razones de seguridad no se harán públicos los detalles de las vulnerabilidades hasta que Apple y Microsoft lancen sus respectivos parches.

Lo mejor de todo es que VUPEN y Stephen Fewer ganaron 15,000 dólares por la hazaña, además de entregarles a cada uno las laptops desde donde explotaron dichas vulnerabilidades.

Fuente: Zdnet