Com
apenas dois dias da competição hacker Pwn2Own, dedicada a encontrar falhas de
segurança em softwares populares, três navegadores tiveram suas defesas
derrubadas pelas equipes que disputam os prêmios em dinheiro do evento. Desta
vez, os alvos foram Safari, Firefox e Microsoft Edge.
O navegador da Apple foi
derrotado por duas equipes diferentes. A primeira delas, formada por Amat Cama
e Richard Zhu, utilizou uma técnica de força bruta para driblar a função de
sandbox do Safari, ganhando um prêmio de US$ 55 mil. Em outro momento, um time
diferente explorou um bug JIT do navegador ao acessar um site desenvolvido por
eles. Como a Apple já estava ciente dessa falha, o
prêmio foi menor, de US$ 45 mil.
Cama e Zhu também utilizaram um
bug JIT para quebrar a segurança do Firefox, recebendo mais US$ 50 mil pelo
feito. Tática parecida foi utilizada por Niklas Baumstark, que se aproveitou
também de um bug de lógica para invadir o navegador da Mozilla e faturar US$ 40
mil.
Confirmed! The duo from @fluoroacetate used a JIT bug in #Firefox and an out-of-bounds write in the #Windows kernel to earn themselves $50,000 and 5 more Master of Pwn points.
39 pessoas estão falando sobre isso
E
a dupla Cama e Zhu, que concorreu com o nome de Fluoroacetate, não estava para
brincadeira. Depois de derrubar Safari e Firefox eles conseguiram fazer o mesmo
com o Microsoft Edge, utilizando para isso uma estação virtual rodando o
Windows. Foi o bastante para que recebessem US$ 130 mil de premiação.
Assim como acontece em todas as
edições do Pwn2Own, os detalhes técnicos de cada falha foram informados apenas
para as companhias responsáveis pelos navegadores. Elas têm um prazo de 90 dias
para corrigir os problemas, época em que as informações serão divulgadas
publicamente. O evento é patrocinado por Microsoft, Tesla e VMWare.
Fontes:
BLEEPING COMPUTER/ FOSSBYTES
Nenhum comentário:
Postar um comentário