Navegadores de internet são testados em competição no Canadá

Encontrar vulnerabilidades nos principais browsers do mercado foi a competição proporcionada esta semana na conferência de segurança CanSecWest em Vancoucer, no Canadá.

A busca por uma recompensas fez com que diversos desenvolveres criassem exploits de sucesso contra o Internet Explorer, Google Chrome e Mozilla Firefox, assim como o plugin Flash da Adobe.

Os códigos de ataque desenvolvidos contra navegadores de internet e plug-ins eram novos e originais, porque todos os softwares usados na competição estavam atualizados na última versão estável. Os prêmios foram além de dinheiro, os notebooks usados na competição.

Regra da competição

Os desenvolvedores precisavam criar uma página de internet que deve ser capaz de gravar um arquivo contendo um determinado conteúdo. Após isso, o software a ser testado é aberto nessa página.

Google Chrome

A MWR Labs demonstrou um exploit de desvio total sandbox contra o navegador do Google. Ao visitar a página web maliciosa foi possível explorar a vulnerabilidade que permitiu os desenvolvedores executarem um código no contexto do processo de renderização em modo seguro.

Internet Explorer e Mozilla Firefox

Enquanto isso, a threadpost ganhou cerca de US$250.000,00 sendo que desses, US$180.000,00 foram graças aos ataques com êxito aos Mozilla Firefox e Internet Explorer 10. Os outros US$70.000,00 foram ganhos graças a uma falha de segurança encontrado no flash.

Chrome OS passa no teste

A competição promovida pelo Google, a Pwnium 3, não teve vencedores. O gigante das buscas colocou mais de US$3 milhões em ganhos potenciais para aqueles capazes de produzir ataques eficientes contra o Samsung Series 5 Chromebook 550, rodando a última versão estável do Chrome OS.

Recorde de pagamento na Pwn2Own

A Pwn2Own comemorou seus 8 anos de evento com recorde de pagamentos. Ao todo foram pagos mais de US$480.000,00 em prêmios. Abaixo a lista de desenvolvedores que foram com o “bolso cheio” para casa:

James Forshaw: Java = US$20 mil.
Joshua Drake: Java = US$20 mil.
Vupen Segurança: IE10 + Firefox + Java + Flash = US$250 mil.
Nils & Jon (MWR): Chrome = US$100 mil.
George Hotz: Adobe Reader = US$70 mil.
Ben Murphy: Java = US$20 mil.

Google e Mozilla já corrigiram os problemas, Microsoft não!

Segundo a publicação da Computerworld, um dia depois dos pesquisadores encontrarem as falhas nos navegadores, a Google e a Mozilla corrigiram os problemas através de atualizações.

O Firefox 19.0.2 e o Chrome 25 já foram disponibilizados aos usuários sendo que a maioria deles recebe automaticamente através do mecanismo de atualização do navegador.

O Microsoft Internet Explorer 10 que também teve seu sistema de segurança violado ainda não foi corrigido. Ainda segundo a Computerword, é possível que uma correção seja incluída nos famosos “patches” da Microsoft a ser lançado em 12 de março.