1

Pwn2Own: Safari y Explorer son los primeros caídos en evento de hackers

pwn2own-safari-y-explorer-son-los-primeros-caídos-en-evento-de-hackersNi Apple ni Microsoft, respectivamente, deben estar contentos pues han caído bajo los ataques de los primeros hackers que ya lograron vulnerar ambos navegadores durante el primer día del concurso Pwn2Own en Canadá.

Pwn2Own, el reto de los hackers comenzó a las 3:30 p.m PT, un poco después de lo previsto, durante la conferencia de seguridad CanSecWest, que se celebra entre el 9 y el 11 de marzo en Vancouver. Así un equipo de la firma de seguridad francesa Vupen se marchó a casa con 15.000 dólares y un nuevo MacBook Air en sus manos, tras haber explotado una vulnerabilidad no solucionada en Safari.

Unas horas antes, Apple había actualizado Safari a la versión 5.0.4, resolviendo 62 vulnerabilidades, pero aun así, Vupen pudo “romper” el navegador.

“Apple acaba de lanzar Safari 5.0.4 y iOS 4.3, justo antes del comienzo del concurso Pwn2Own”, declararon desde Vupen a través de su cuenta Twitter varias horas antes de que empezara el concurso. “Esto rompe algunos exploits, pero no todos!”.

Por su parte, HP TippingPoint, la empresa de seguridad que patrocina Pwn2Own, también declaró que las actualizaciones de última hora de Safari podrían afectar a quien fue galardonado con dinero.

Peter Vreugdenhil, de TippingPoint, declaró que los navegadores estaban “congelados” dos semanas antes del concurso con las versiones de Safari, Chrome 9, IE8 y Firefox 3.6, para dar así a los investigadores un blanco estacionario en el que hacer sus pruebas. “El desarrollo de exploit recae a veces en ciertas versiones y esa es la razón por la que se han congelado los dispositivos”, ha explicado Vreugdenhil.

Pero los parches de Safari aún pueden cambiar las cosas y dar un giro a la victoria de Vupen. Si la vulnerabilidad utilizada por Vupen para hackear Safari ha sido resuelta en la versión 5.0.4, no habría sido galardonado con los 15.000 dólares. En su lugar, el dinero habría pasado al primer investigador que consiguió atacar a la versión “congelada” de Safari, 5.0.3, utilizando un fallo que sigue presente en la última actualización.

Finalmente, el otro afectado no se impresionó mucho por este suceso, pues hay que recordar que el mismo Microsoft no quiso parchar Explorer 9 para este evento, como si lo hicieron los otros navegadores como Firefox 4 y Chrome 10. Todo esto con el fin de entregar su nueva versión optimizada para su lanzamiento oficial del próximo Lunes 14 de Marzo.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.