segunda-feira, 25 de março de 2019

Safari, Edge e Firefox têm segurança derrubada em evento hacker



Com apenas dois dias da competição hacker Pwn2Own, dedicada a encontrar falhas de segurança em softwares populares, três navegadores tiveram suas defesas derrubadas pelas equipes que disputam os prêmios em dinheiro do evento. Desta vez, os alvos foram SafariFirefox e Microsoft Edge.

O navegador da Apple foi derrotado por duas equipes diferentes. A primeira delas, formada por Amat Cama e Richard Zhu, utilizou uma técnica de força bruta para driblar a função de sandbox do Safari, ganhando um prêmio de US$ 55 mil. Em outro momento, um time diferente explorou um bug JIT do navegador ao acessar um site desenvolvido por eles. Como a Apple já estava ciente dessa falha, o prêmio foi menor, de US$ 45 mil.

Cama e Zhu também utilizaram um bug JIT para quebrar a segurança do Firefox, recebendo mais US$ 50 mil pelo feito. Tática parecida foi utilizada por Niklas Baumstark, que se aproveitou também de um bug de lógica para invadir o navegador da Mozilla e faturar US$ 40 mil.


Ver imagem no Twitter
Confirmed! The duo from @fluoroacetate used a JIT bug in and an out-of-bounds write in the kernel to earn themselves $50,000 and 5 more Master of Pwn points.
39 pessoas estão falando sobre isso


E a dupla Cama e Zhu, que concorreu com o nome de Fluoroacetate, não estava para brincadeira. Depois de derrubar Safari e Firefox eles conseguiram fazer o mesmo com o Microsoft Edge, utilizando para isso uma estação virtual rodando o Windows. Foi o bastante para que recebessem US$ 130 mil de premiação.

Assim como acontece em todas as edições do Pwn2Own, os detalhes técnicos de cada falha foram informados apenas para as companhias responsáveis pelos navegadores. Elas têm um prazo de 90 dias para corrigir os problemas, época em que as informações serão divulgadas publicamente. O evento é patrocinado por Microsoft, Tesla e VMWare.


Nenhum comentário:

Postar um comentário