Durante estos días se está celebrando la competición Pwn2Own en Vancouver, donde varios equipos de seguridad tratan de ser los primeros en encontrar y aprovechar fallos de seguridad en los navegadores para hacerse con el control de un ordenador. Este año, el primero ha sido Chrome y ahora le toca el turno a Internet Explorer, que cae a manos de los mismos que vencieron al navegador de Google.
Aprovechando una vulnerabilidad han conseguido saltarse DEP y ASLR (protecciones de Windows que tratan de evitar que un atacante ejecute código aleatorio). Una vez conseguido esto, encontraron otro fallo que les permitía saltarse el aislamiento (Sandbox) de Internet Explorer para tomar control del ordenador. Y todo esto sólo con que un usuario navegue a un sitio web debidamente preparado.
Según Vupen, la vulnerabilidad afecta a todas las versiones de IE, desde la 6 hasta la 10 en Windows 8. También comentan que, aunque la Sandbox de Internet Explorer tiene bastantes fallos, en la versión 10 han mejorado bastante en cuanto a seguridad.
Por suerte para los usuarios (y para Microsoft) no difundirán todos los exploits que han usado para vencer al navegador, sólo el primero. Y por lo visto, la cosa no se va a quedar aquí: este equipo de seguridad dice que tiene vulnerabilidades explotadas para el resto de navegadores, así que no sería raro ver que en los siguientes días van cayendo los que quedan.
Vía | ZDNet
Ver 42 comentarios