segunda-feira, 12 de março de 2012

Vulnerabilidades

IE9 é o segundo navegador invadido em desafio de hackers
O primeiro foi o Google Chrome

Uma equipe de pesquisadores franceses da empresa de segurança VUPEN explorou duas falhas de segurança “0-day” (ainda desconhecidas pelo público) no Internet Explorer 9 para invadir um PC com o Windows 7 SP1 totalmente atualizado durante a competição de segurança CanSecWest Pwn2Own.

O primeiro navegador a ser hackeado na competição deste ano foi o Google Chrome.

Uma das falhas foi usada para burlar os recursos de segurança DEP (Data Execution Prevention) e ASLR (Address Space Layout Randomization) e a segunda para burlar o Modo Protegido do Internet Explorer 9.

Chaouki Bekrar, co-fundador da VUPEN, disse que dois pesquisadores de segurança da empresa trabalharam durante seis semanas para criar o exploit usado durante a competição Pwn2Own. “Este foi bem difícil porque você precisa combinar múltiplas vulnerabilidades e burlar todas estas proteções”, disse ele.

A primeira vulnerabilidade foi usada para executar um shellcode, que por sua vez possui um exploit usado para explorar a segunda vulnerabilidade e assim burlar o Modo Protegido do navegador e executar a Calculadora do Windows:


Bekrar também disse que sua equipe já começou a analisar o Internet Explorer 10 no Windows 8 Consumer Preview e descobriu que ele é muito mais difícil de ser hackeado graças aos novos recursos de segurança presentes nesta versão, como seu novo Modo Protegido:


Novo Modo Protegido do Internet Explorer 10 no Windows 8 Consumer Preview

Baboo

Nenhum comentário: