Global Preloader
Noticia Internacional
(17/Mar/2017) Pwn2Own 2017: Expertos en Hack Edge, Safari y Ubuntu

Pwn2Own 2017: Expertos en Hack Edge, Safari y Ubuntu

Los cazadores de recompensas de bugs han logrado hackear Microsoft Edge, Safari, Ubuntu y Adobe Reader en el primer día de la competencia Pwn2Own 2017 que tiene lugar estos días junto a la conferencia CanSecWest en Vancouver, Canadá.

El premio para el evento de este año es de $ 1 millón y 11 equipos se han inscrito para hackear productos en cuatro categorías. En el primer día de la competición, los participantes ganaron un total de $ 233,000 por las hazañas que revelaron.

Un equipo de la firma china de seguridad Qihoo360 ganó 50.000 dólares por hackear Adobe Reader en Windows. Los hackers aprovecharon la vulnerabilidad de ejecución remota de código y divulgación de información en Windows y un desbordamiento de montón de JPEG2000 en Reader para completar la tarea.

Adobe Reader también fue criticado por Team Sniper de Tencent Security, que explotó las fallas de uso posterior y de divulgación de información para lograr la ejecución de código y un uso después de la liberación en el núcleo para obtener permisos a nivel del sistema. El equipo ganó $ 25,000 por sus hazañas.

Los investigadores Samuel Groß y Niklas Baumstark ganaron $ 28,000 por hackear el navegador Safari de Apple usando una combinación de una falla de uso posterior, tres fallos lógicos y una dereferencia de puntero nulo. Su intento fue sólo parcialmente exitoso, pero ganaron puntos de estilo por mostrar un mensaje especial en la barra de toque de Mac de destino.

El Laboratorio de Investigación de Seguridad Chaitin, con sede en Pekín, ganó 35.000 dólares por obtener acceso root a una Mac a través de Safari. El equipo explotó seis fallas, incluyendo una divulgación de información, cuatro confusiones de tipo y un uso después de la libertad.

El mismo equipo también hackeó con éxito Ubuntu Desktop a través de un montón de acceso fuera de límites en el kernel de Linux, que les valió 15.000 dólares. Vale la pena señalar que este es el primer Pwn2Own donde los participantes son recompensados ​​por encontrar vulnerabilidades de escalamiento de privilegios locales.

La mayor recompensa del primer día, $ 80,000, fue ganada por Tencent Security Team Ether, que logró hackear el navegador Edge de Microsoft usando un error de escritura arbitrario en Chakra y un error lógico para escapar del sandbox.

Cada uno de estos concursantes también obtuvo puntos de Master of Pwn, y el investigador o equipo con el total más alto recibirá 65,000 puntos de recompensa ZDI, que valen aproximadamente $ 25,000.

Team Ether se había inscrito para hackear Windows también, pero retiraron la entrada. El investigador Ralf-Philipp Weinmann, quien apuntó a Edge, también retiró su entrada. Richard Zhu y Team Sniper no lograron hackear Safari y Google Chrome, respectivamente, en el tiempo asignado.