Durante estos días se está celebrando la competición Pwn2Own en
Vancouver, donde varios equipos de seguridad tratan de ser los primeros
en encontrar y aprovechar fallos de seguridad en los navegadores para
hacerse con el control de un ordenador. Este año, el primero ha sido Chrome y ahora le toca el turno a Internet Explorer, que cae a manos de los mismos que vencieron al navegador de Google.
Aprovechando una vulnerabilidad han conseguido saltarse DEP y ASLR
(protecciones de Windows que tratan de evitar que un atacante ejecute
código aleatorio). Una vez conseguido esto, encontraron otro fallo que
les permitía saltarse el aislamiento (Sandbox) de Internet Explorer para
tomar control del ordenador. Y todo esto sólo con que un usuario navegue a un sitio web debidamente preparado.
Según Vupen, la vulnerabilidad afecta a todas las versiones de IE,
desde la 6 hasta la 10 en Windows 8. También comentan que, aunque la
Sandbox de Internet Explorer tiene bastantes fallos, en la versión 10
han mejorado bastante en cuanto a seguridad.
Por suerte para los usuarios (y para Microsoft) no difundirán todos los exploits
que han usado para vencer al navegador, sólo el primero. Y por lo
visto, la cosa no se va a quedar aquí: este equipo de seguridad dice que
tiene vulnerabilidades explotadas para el resto de navegadores, así que
no sería raro ver que en los siguientes días van cayendo los que
quedan. |
|
|
No hay comentarios:
Publicar un comentario