Durante estos días se está celebrando la competición Pwn2Own en Vancouver, donde varios equipos de seguridad tratan de ser los primeros en encontrar y aprovechar fallos de seguridad en los navegadores para hacerse con el control de un ordenador. Este año, el primero ha sido Chrome y ahora le toca el turno a Internet Explorer, que cae a manos de los mismos que vencieron al navegador de Google.

Aprovechando una vulnerabilidad han conseguido saltarse DEP y ASLR (protecciones de Windows que tratan de evitar que un atacante ejecute código aleatorio). Una vez conseguido esto, encontraron otro fallo que les permitía saltarse el aislamiento (Sandbox) de Internet Explorer para tomar control del ordenador. Y todo esto sólo con que un usuario navegue a un sitio web debidamente preparado.

Según Vupen, la vulnerabilidad afecta a todas las versiones de IE, desde la 6 hasta la 10 en Windows 8. También comentan que, aunque la Sandbox de Internet Explorer tiene bastantes fallos, en la versión 10 han mejorado bastante en cuanto a seguridad.

Por suerte para los usuarios (y para Microsoft) no difundirán todos los exploits que han usado para vencer al navegador, sólo el primero. Y por lo visto, la cosa no se va a quedar aquí: este equipo de seguridad dice que tiene vulnerabilidades explotadas para el resto de navegadores, así que no sería raro ver que en los siguientes días van cayendo los que quedan.

Vía | ZDNet

Un año más está la Pwn2Own en marcha, un evento que pone a prueba a los principales sistemas operativos y navegadores. En esta edición hay algunos cambios en la organización: la versión que se pone a prueba no es la más nueva, sino la que estaba disponible una semana antes del evento. Así, los fallos encontrados se llevaban un premio, pero el dinero sólo lo ganaban si el fallo permanecía en la última versión.

Al igual que el año pasado, y el anterior, y el anterior, Apple no ha salido muy bien parada: tanto Safari como iOS han caído rápidamente a través de una página web específicamente preparada. Por suerte, el fallo de iOS (concretamente, en Safari Mobile) no se puede explotar en iOS 4.3 por la inclusión de ASLR, aunque sigue existiendo.

Tampoco BlackBerry ni Internet Explorer han salido demasiado bien, y no han resistido las pruebas. Chrome, como en años anteriores, ha acabado imbatido (no ha aparecido el que iba a tratar de romperlo) al igual que Firefox, Android y Windows Phone 7, cuyos atacantes no se han presentado.

A falta de un día para que acabe la Pwn2Own, podemos decir que Google es el que mejor trabaja por la seguridad. Tras él, Microsoft y Mozilla también han hecho un buen trabajo con Windows Phone y Firefox, respectivamente.

Vía | ArsTechnica

¿Os acordáis de PWN2OWN? Este evento cuyo nombre es prácticamente inpronunciable siempre llama la atención por sus iniciativas. Cada año prueban la resistencia y seguridad de los sistemas operativos y navegadores y los resultados pasan por todos los medios de actualidad como toque de atención para los desarrolladores. Hace dos años verificaron la fortaleza de Ubuntu, y el año pasado lo pasaron realmente mal al intentar hackear Chrome.

Este año han vuelto a hacer lo mismo, y tenemos una larga lista de caídos. En primer lugar el iPhone OS, que en apenas 20 segundos se ha comprometido su seguridad desde una página web (que, eso sí, han tardado semanas en programar) y gracias a ello se ha podido acceder a la lista de mensajes SMS guardados en el teléfono.

Otro gran afectado de Apple fue Safari, pirateado sin necesidad de acceder físicamente al Mac en el que está instalado. El responsable de hackear el navegador de esta manera ha recibido un premio de diez mil dólares. Firefox e IE8 han tenido la misma mala suerte al ser fácilmente hackeados por dos personas más que también han recibido el mismo premio.

El único que ha plantado cara a los piratas informáticos es Chrome, que de momento todavía no ha podido ser “reventado”. Según Charlie Miller, lo que hace tan difícil de piratear a Chrome es por el modelo de seguridad en el que se basa, llamado sandbox. Dicho modelo combinado con otras medidas de seguridad hacen que, a pesar de tener ya localizada una vulnerabilidad, ésta sea terriblemente difícil de aprovechar.

Otro navegador que todavía falta por piratear es Opera, aunque los motivos son diferentes. Al ser un navegador usado por una fracción muy pequeña de usuarios, no ha habido nadie que se haya interesado en buscar los puntos flacos de esta aplicación.

De todo esto, pues, podemos sacar en claro que los maniáticos de la seguridad deberían estar usando Chrome u Opera en estos momentos. Safari y el resto del software de Apple se llevan la peor cara, al ser los más fácilmente y rápidamente pirateables.

Vía | DownloadSquad, Mashable
Imagen | nDevilTV