Pwn2Own 2013: Google premia con 100.000 dólares el hackeo de Chrome
Ni Google Chrome ni los navegadores de la Fundación Mozila y Microsoft han superado las pruebas de la última edición de este popular concurso de hacking.
Estos días se ha estado celebrando en Vancouver el concurso de hacking Pwn2Own que ha terminado con el pago de 100.000 dólares por parte de Google a los investigadores de MWR Labs en concepto de recompensa.
Y es que su equipo ha demostrado que, cuando un usuario visitaba una página web maliciosa, era posible explotar una vulnerabilidad hasta entonces desconocida a través de una versión totalmente parcheada del navegador.
Este exploit permitía la ejecución de código en el proceso de renderizado, a pesar del sandbox, y a partir de ahí obtener privilegios y ejecutar comandos en un equipos gobernado por Windows 7.
Esto es, “filtrando direcciones de diferentes objetos en la memoria, calculando la dirección base de ciertas dlls del sistema, leyendo datos arbitrarios y ganando ejecución de código”, tal y como explican los autores del descubrimiento.
Para más inri, los miembros de MWR Labs fueron capaces de explotar tanto el navegador como el sistema operativo sin modificar la configuración por defecto de ambas plataformas.
Chrome no ha sido el único navegador vulnerado durante el concurso. Otro participante, VUPEN Security, fue capaz de poner en evidencia tanto a Mozilla Firefox como al Internet Explorer de Microsoft, lo que le ha valido un total de 160.000 dólares en premios.