Pwn2Own, si ese evento en el que varios equipos intentan hallar fallos de seguridad en los navegadores para explotarlos y hacerse con el control de la PC, apenas ayer Google Chrome callo en menos de 5 minutos, esta ves fue Internet Explorer a manos del mismo grupo que venció a Google, Vulpen.
Para hacerlo utilizaron una vulnerabilidad que permitió que se salten el DEP y ASLR (Protecciones de Windows que "evitan" la ejecución de código aleatorio), una ves hecho esto encontraron otro fallo que les permitió saltarse la Sandbox de Internet Explorer Tomando el control del Ordenador. todo esto sucedió cuando accedieron a un sitio web previamente preparado.
El ataque de ejecucion de codigo no requiere la intervencion del usuario mas alla de que entre en una pagina web fraudulenta, Tambien funciona en IE 10 y se ejecuta en Windows 8
Vulpen dice que esta vulnerabilidad esta en todas sus versiones desde la 8 hasta la 10 de Windows 8, pero aclara que a pesar de que la Sandbox de IE tiene varios, la versión 10 mejora bastante su seguridad.
También dijeron que no divulgaran todos los exploids que usaron para vencer al navegador, solo el primero, pero dijeron que tienen vulnerabilidades preparadas para todos los navegadores que quedan, por lo que pronto veremos caer a los demás.
Fuente: DZNet
No hay comentarios:
Publicar un comentario