Todos os principais navegadores, incluindo Chrome, Firefox, Internet Explorer e Safari, foram reprimidos durante o concurso Pwn2Own de dois dias deste ano, realizado pela Zero Day Initiative (ZDI) da HP..

Duas vulnerabilidades foram encontradas no Google Chrome, incluindo um bypass de sandbox e um bug arbitrário de leitura / gravação, ambos resultando em execução de código. Este último foi considerado uma vitória parcial, desde que parte dele foi descoberto mais cedo em Pwnium.

Três bugs gratuitos de uso-depois-livre e um bug do kernel que permitia a abertura da calculadora do sistema foram descobertos no Microsoft Internet Explorer.

Dois bugs de leitura / gravação fora do limite que resultaram em execução de código foram encontrados no Mozilla Firefox, assim como um bug de uso após livre permitindo um bypass de sandbox. Foram encontrados mais dois problemas que permitem o escalonamento de privilégios no navegador e um desvio de medida de segurança.

Um estouro de heap e um bypass de sandbox resultando em execução de código foram localizados no Apple Safari.

Não foram todos os navegadores da web também. Outro estouro de pilha e desvio de sandbox foi descoberto no Adobe Flash e no Adobe Reader, bem como um desvio de sandbox do Internet Explorer sem uso no Flash.

Possuído

Os patrocinadores da competição, Google e ZDI, também apresentaram alguns bugs que encontraram como parte da parte Pwn4Fun do evento, o que provavelmente não foi muito divertido para os fabricantes de navegadores alvos..

O Google mostrou como poderia explorar o Safari para abrir a Calculadora como root no Mac OS X, enquanto a ZDI lançou a Scientific Calculator usando uma exploração de bypass de sandbox no Internet Explorer.

Um total de US $ 850.000 foi pago aos vencedores durante os dois dias, além de laptops, pontos ZDI e outros prêmios. 82.500 dólares também foram entregues à Cruz Vermelha Canadense pelo Google e pela ZDI.

Todas as vulnerabilidades descobertas foram relatadas às respectivas empresas para que possam ser tratadas em futuras correções.

Via ZDNet

  • Qual navegador você deve usar??