Los tres navegadores, Java y los plugins de Adobe vuelven a caer en el Pwn2Own

Google Chrome, Microsoft Internet Explorer 10, Mozilla Firefox, los plugins de Adone y Java se han visto comprometidos en el concurso Pwn2Own en el que expertos de seguridad tenían que encontrar vulnerabilidades desconocidas, o de Día Cero.

El Pwn2Own ha repartido 500.000 dólares en premios por demostrar ataques de Día Cero desconocidos contra los tres grandes navegadores del mercado y los tres plug-ins más utilizados en el concurso anual Pwn2Own que se celebra durante la conferencia CanSecWest de Vancouver.

El concurso, de tres días, exige que los expertos se conviertan en atacantes y comprometan versiones completamente parcheadas de los navegadores más populares que funcionan tanto en Windows como en Mac OS X. Después de un ataque con éxito, que requiere que el investigador convertido en hacker consiga el control de la máquina afectada, los concursantes deben ofrecer todos los detalles de su trabajo a la Zero Day Initiative (ZDI) de Hewlett-Packard, que es quien patrocina este concurso. La información se envía después a los vendedores para que parcheen los productos afectados.

HP pagará a dos equipos de investigadores –la empresa Vupen y un par de investigadores, un total de 100.000 dólares por cada fallo crítico encontrado en Microsoft Internet Explorer 10 y la última versión de Google Chrome. Además, los fallos descubiertos en Adobe Flash y Reader han hecho ganar a George Hotz, investigador de Vupen, 70.00 dólares. Comprometer a Mozilla Firefox añade a la cuenta de Vupen otros 60.000 dólares, mientras que cuatro exploits diferentes para Java han costado 20.000 dólares cada uno.

Vupen es una empresa francesa dedicada a buscar vulnerabilidades en productos de software para luego vender esa información al mejor postor. Empezó a participar en el Pwn2Own el año pasado y parece que se ha convertido en una de las estrellas del concurso, anunciando sus logros a través de su cuenta en Twitter.