Los principales navegadores caen en el Pwn2Own 2014

Los días 12 y 13 de marzo se celebró una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Internet Explorer, Firefox, Chrome y Safari, no se libraron de los ataques y mostraron su cara más débil.

Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: Adobe Reader, Flash y Java. Pwn2Own, que se celebra en la ciudad canadiense de Vancouver, está patrocinado por la empresa Zero Day Initiative ZDI de HP, una compañía que se encarga de poner en contacto a investigadores de seguridad y compañías de software para garantizar una publicación coordinada de vulnerabilidades.

El primer día se cerró con cinco intentos exitosos contra otros tantos productos diferentes, que se llevaron 400.000 dólares en premios más otros 82.000 en donaciones a la Cruz Roja Canadiense en el evento Pwn4Fun.

En el Pwn4Fun, Google mostró un exploit contra Apple Safari que conseguía lanzar la Calculadora como root en Mac OS X. Mientras que ZDI presentó un exploit de múltiples fases, que incluía una fuga de la "sandbox", contra Microsoft Internet Explorer, que conseguía ejecutar la Calculadora Científica (con permisos intermedios).

En el Pwn2Own propiamente dicho, Jüri Aedla consiguió la ejecución de código en Mozilla Firefox a través de una lectura/escritura fuera de límites. Mariusz  Mlynski, mostró dos vulnerabilidades, también contra Mozilla Firefox, la primera permitía la escalada de privilegios mientras que la segunda permitía evitar las medidas de seguridad del navegador.

Por otra parte, el Equipo VUPEN consiguió cuatro ataques exitosos, tres de ellos con resultado final de ejecución de código. El primero contra Adobe Flash, por un uso después de liberar memoria con un salto de la "sandbox" de Internet Explorer. Contra Adobe Reader un desbordamiento de búfer junto con un escape de la "sandbox" PDF y contra Firefox un uso después de liberar memoria. Por ultimo, un escape de la "sandbox" de Microsoft Internet Explorer.

El segundo día fue igualmente productivo con siete participantes contra cinco productos, que consiguieron 450.000 dólares en premios. Lo que hace un total de 850.000 dólares en premios.  

Un participante anónimo presentó una vulnerabilidad de lectura/escritura arbitraria contra Google Chrome que permitía evitar la "sandbox" y lograr la ejecución de código. Sebastian Apelt y Andreas Schmidt presentaron una vulnerabilidad en el kernel y dos de uso después de librar memoria contra Internet Explorer, que conseguían ejecutar la Calculadora con permisos del sistema.

Por otra parte Liang Chen de Keen Team, mostró un desbordamiento de búfer junto con un escape de la "sandbox" que afectaba a Apple Safari. George Hotz, presentó un ataque contra Mozilla Firefox, con lectura/escritura fuera de límites. Por el Equipo VUPEN contra Google Chrome un uso después de liberar que afectaba tanto a Blink como a WebKit junto con un escape de la "sandbox" y por último de Zeguang Zhou de team509 y Liang Chen del Keen Team un desbordamiento de búfer contra Adobe Flash que permitía escapar de la "sandbox". Todos estos problemas permitían la ejecución de código.

Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas.

Más información:

Pwn2Own

http://www.pwn2own.com/

Pwn2Own results for Wednesday (Day One)

http://www.pwn2own.com/2014/03/pwn2own-results-for-wednesday-day-one/

Pwn2Own results for Thursday (Day Two)

http://www.pwn2own.com/2014/03/pwn2own-results-thursday-day-two/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero