Portada
Hace 12 años | Por txalin a zdnet.com
Publicado hace 12 años por txalin a zdnet.com
Pwn2Own 2012: El primero en caer ha sido Google Chrome [ENG]

Pwn2Own 2012: El primero en caer ha sido Google Chrome [ENG]

 zdnet.com

Este año en el famoso concurso para comprometer navegadores Pwn2Own, y del cual siempre habia salido ileso el navegador de google, el primero en caer ha sido este último. Vupen, empresa que durante 6 semanas han desarrollado un exploit funcional usando dos vulnerabilidades de Google Chrome - una para saltarse ASLR y DEP en Windows 7 y la otra para romper la SandBox del navegador - se lo han llevado por delante y han hecho un exploit en el que han conseguido sacar la calculadora de Windows con sólo visitar una página web con el exploit

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 4.5k 51

Comentarios

Morgan

Se habrán llevado el premio, ¿no?

Google ofrece 1 millón de dólares para los hackers que logren vulnerar Chrome con Windows 7

Hace 12 años | Por --290023-- a alt1040.com
Publicado hace 12 años por --290023-- a alt1040.com

Google ofrece 1 millón de dólares para los hackers...

 alt1040.com

V 36
K 328
m
editado

#1 me parece que no. De la noticia que enlazas:
Finalmente y a través del blog de la compañía, Google aviva una nueva polémica en torno a Pwn2Own. La compañía retirará el patrocinio del concurso tras este año si no realizan cambios en sus términos. La razón es que las reglas permiten a los hackers no revelar todos los detalles de las vulnerabilidad encontradas en los navegadores si no lo desean.

Y de esta noticia:
VUPEN will sell the rights to one of the zero-day vulnerabilities but the company says it won’t give up the sandbox escape. “We are keeping that private, keeping it for our customers.”

V 11
K 103
a

#13 No se me ocurre qué clase de cliente decentes pueden necesitar esa información ¿o es que van a vender el parche en lugar de hacer que Google lo incluya en Chrome?

V 1
K 14
m
editado

#14 es verdad, se me ocurren muchos indecentes pero ninguno decente. Y no creo que le puedan vender un parche por más de un millón de dólares.
Sin embargo, relajando la moral aparecen varios: servicios de inteligencia, empresas de seguridad y de espionaje, desarroladores de troyanos. Por ejemplo, Stuxnet usaba varios exploit que no eran públicos.

V 0
K 8
D

#13 Si se lo vendieran a Google no me parecería mal, sería cobrar por su trabajo, pero vendérselo a terceros me parece bastante rastrero.

V 2
K 29
t
autor

Por cierto, informacion sacada via www.elladodelmal.com , pero prefiero enlazar a la fuente original.

V 12
K 132
D

#2 Yo suelo añadir a la entradilla como enlace traducido con una URL corta.

V 6
K 72
ankra

que troll mas cutre

V 14
K 109
thingoldedoriath

Pero... a mi no me queda claro si han hackeado el Chrome o el Windows 7

V 8
K 94
C

#4 Ambos, lo pone en la entradilla,

V 2
K 28
Jaski
editado

#4 Windows7 através de Chrome. El concurso trata de comprobar si se pueden ejecutar comandos o programas en el SO (Windows 7) de un inocente y curioso usuario que, sin ejecutar ningún archivo previamente descargado, esté simplemente abriendo una web con su navegador (Chrome). Vamos que las compañías van amigablemente a recibir OWNEDS así en mayúsculas, dejando que chavales, normalmente estudiantes, dejen a sus ingenieros informáticos excelentemente pagados a la altura del betún a cambio de poder detectar qué fallos de seguridad tienen sus navegadores para poder parchearlos en ediciones futuras. Y además, si algún hacker sorprende a la compañía revelando una pifia de órdago, probablemente acabe contratado por una de esas empresas a las que ha conseguido chulearle el navegador. Todos salimos ganando, algunos hackers consiguen buen curro, las empresas mejoran sus aplicaciones y los usuarios disponemos de programas más seguros y currados con cada nueva versión.

V 7
K 69
D

#28 Lo único malo es que no van a decirles por donde se han colado.

V 1
K 16
musg0

#28 Diseñar un sistema seguro es mucho más dificil que buscar fallos a uno hecho y es una tarea completamente diferente y mucho más grande. De hecho buscar fallos estaría contenido en diseñar un sistema seguro.

A no ser que el fallo sea de principiante o realmente no sea un fallo sino una decisión política (poner una puerta trasera, por ejemplo) no creo que nadie saque los colores a nadie.

V 0
K 6
D

Link al video:

V 7
K 81
Mskina

#5 2011? v11?

V 3
K 34
D
editado

#19 Exacto, punto por nombrarlo!, también me fije, parece que es una versión "algo" antigua, pero si te das cuenta el updater no encuentra ninguna , como era aquello de los trucos de mágia??

V 0
K 9
aeoriz

VUPEN will sell the rights to one of the zero-day vulnerabilities but the company says it won’t give up the sandbox escape. “We are keeping that private, keeping it for our customers.”

Lo triste al leer cosas así, como que haya gobiernos dispuestos a comprar exploits de aplicaciones usadas por muchísima gente, es que ya no sorprende a nadie y se toma como algo "normal".

V 5
K 48
D

Aplausos

V 3
K 35
snd

#31 Si la diferencia de google chrome a chromium es la búsqueda por la barra de dirección, alguna integración con los productos de google y poco mas...

V 2
K 20
m

#29 creo que te equivocas, es más bien lo que dice #33 y poco más, chromium es una delicia.

V 0
K 8
D

En todo el rasca.

V 0
K 11
Candidatas
40
meneos
tecnología Xiaomi prepara un nuevo motor eléctrico con más potencia y un 98% de eficiencia
18
meneos
cultura Khalsa, los guerreros sijs que tenían el deber de proteger a los inocentes de cualquier forma de persecución religiosa
35
meneos
tecnología Burgos tendrá la primera calle del mundo hormigonada con residuos de los molinos de viento
39
meneos
actualidad Una niña se lanza al vacío en un colegio de Balaguer al finalizar las clases
20
meneos
actualidad Picos de Europa alerta del peligro del paso de Horcados Rojos al Jou de Los Boches
42
meneos
politica Ayuso y las “exageraciones”
35
meneos
actualidad Atenas se tiñe de naranja por las nubes de polvo del Sáhara
38
meneos
opinion Elogio de la amabilidad
28
meneos
politica Madrid vuelve al 'ciudadano anónimo' al hablar del novio de Ayuso y evita reconocer que mintieron
32
meneos
actualidad Pedro Sánchez cancela su agenda para decidir si continúa en el cargo ante "la campaña de acoso" contra su esposa
22
meneos
tecnología Ya puedes comprar un perro robot lanzallamas por menos de 10.000 dólares [ENG]
19
meneos
cultura Crean un mapa con los riffs de guitarra más buscados en cada país del mundo: España, enamorada de Pink Floyd
17
meneos
actualidad Aterrizaje brusco y despegue de la aeronave Boeing 747-8i de Lufthansa en el aeropuerto de LAX (Los Angeles)
56
meneos
politica Rueda sigue los pasos de Feijóo y reparte dos millones de euros de la Xunta entre los medios afines al PP
pacoss

¡No me jodas que Win7 lleva hasta calculadora y todo!

V 0
K 9
D

#35

Pues si, te explico

Botón de Inicio - Todos los programas- Accesorios - Calculadora

V 0
K 6
D

me encanta!!!! la prepotencia de google es cansina, me alegro. Y espero que lo sigan reventando dia tras dia

V 0
K 6
D

bravo! anda que.. la calculadora de windows.. menuda rision tiene que haber causado

V 0
K 6
Squash019

#24 espero que lo digas irónicamente. Si no, no entiendes en qué consiste saltarse el sandboxing...

V 2
K 19
D

#26 o no tenemos el mismo humor, no le parece? pero ya que se ha molestado en evaluar el tono y trascendencia de mi mensaje le confirmo que tengo pensado tomarme la vida en serio a partir de 2024

V 1
K 12
Natxelas.

Ya lo decía mi abuela, seguridad total = gasto infinito

V 0
K 6
Observer

#23 La mía decía: Si quieres un equipo seguro, desconectalo, metelo en una caja fuerte, tirala a una piscina de cemento, construye una pirámide encima y solo habrás conseguido complicarles un poco la vida.

V 2
K 21
Nerk

No me sorprende si por mucho navegado el sistema sigue siendo windows amigos tenemos un serio problemo.

V 0
K 6
chencho

#39 windows 7 es uno de los mejores sistemas operativos en cuanto a seguridad.

Toma http://en.wikipedia.org/wiki/Address_space_layout_randomization
y toma http://en.wikipedia.org/wiki/Data_Execution_Prevention
y toma http://www.windowstecnico.com/archive/2010/01/07/aslr-dep-la-lucha-contra-los-exploits.aspx

Y soy más tuxi que todos vosotros juntos, pero si una cosa está bien hecha, está bien hecha.

V 4
K 35
D

#41 Los mismos que han pwneado Chrome, acaban de reventar IE9 sobre Win7 (y parece que también funciona con IE10 sobre Win8) https://www.zdnet.com/blog/security/pwn2own-2012-ie-9-hacked-with-two-0day-vulnerabilities/10621

V 2
K 29
Ramanutha

#41 Si, pero no van a devolver a la gente el dinero que pagaron por el Vista en su día-

V 0
K 6
Joice

Bah, sólo ha conseguido ejecutar la calculadora...

V 0
K 6
A
editado

#45 ejecutar la calculadora ya quiere decir que te has metido en el sistema, remotamente estas ejecutando un programa, si en vez de la calculadora, ejecutas el cmd con el usuario SYSTEM ya eres mas que admin de toda la maquina o simplemente metes un .cmd que se ejecute automaticamente, ejecutar cualquier programa quiere decir que te has emtido hasta la cocina.

V 0
K 7
Joice
editado

#47 O RLY!? (Me niego a usar la etiqueta prefiero apelar a la inteligencia del meneante)

V 1
K 12
A

#48 lol hoy estoy espeso, no es mi día lol

V 1
K 13
democracia_YA

#47 Si es un Windows 7/Vista hace falta algo más para tomar el control de la máquina, entre otras cosas saltarse el UAC que no es moco de pavo. Ejecutar la calculadora se hace sin permisos de admin.

V 0
K 6
D
editado

Una basura de navegador: "¡Vaya! Google Chrome no ha podido encontrar la página".

Esta es toda la aportación que a dado Chrome a la historia. Y encima dicen que es muy rápido, y la gente se lo sigue creyendo. Y si no es sufuciente Adblock funciona lamentablemente mal.

GOOGLE, NO QUEREMOS TUS PRODUCTOS. CUANDO NO EXISTÍAS VIVIAMOS MUCHO MEJOR.

Sin embargo, Apple siempre a la vanguarda de la tecnología. Te queda mucho camino que recorrer.

V 102
K -797
fral

#7 El trollismo es débil en ti joven padawan, debes esforzarte más para convertirte en un troll digno.

On topic: Calló el que faltaba por caer y era necesario para que sus usuarios, en los que me incluyo, no se sintieran invulnerables ni confiados por la resistencia del navegador y para hacerlo aún más fuerte. ¿Sería ser muy iluso de mi parte el esperar que algún día google libere el código de Chrome para que otros navegadores/productos se beneficien y así tengamos una web más segura?.

V 19
K 144
D
editado

Me encanta el nombre del concurso.

#10: Sería más bien pwndawán.

#7: Se más breve y conciso:

#Googlowned = Owned ^ 100

V 2
K 23
m
editado

#10 Cuando dices liberar... ¿te suena Chromium? http://www.chromium.org/Home (Pista: ya lo han hecho)

V 9
K 90
D

#10 Te resumo lo que dice #17 :P. Chrome es un fork exacto del navegador libre Chromium (creado por Google) con ciertos binarios privativos conocidos. Así que casi se puede decir que Chrome es libre en su mayor parte.

V 3
K 37
fral

#17 Sí pero es que chromium no es chrome, google adereza bastante a chrome para ponerlo en el nivel que lo tiene.

V 0
K 10
fral
editado

#29 #10 me parece que tengo un arroz con mango con el tema de chrome y chromium, me toca revisar bien las licencias y el modelo de desarrollo de chrome.

#22 se me escapó.

V 1
K 16
Bazofio

#10 Cuando dices "calló", ¿quieres decir que cayó?

V 7
K 57
D

#7 AppleFanboy goto http://www.meneame.net/search.php?q=apple&w=links

Ya siguiendo el tema, ahora tendremos un navegador más seguro. Aparte de rápido

V 0
K 9
Squash019

#12 Tú lo del trolleo e ironía de la gente me da que lo captas al vuelo... roll

V 1
K 16
D

#15 Lo sé. Gracias.

V 1
K 15
TALIVAN_HORTOGRAFICO

#7 a ha dado

V 0
K 7
ruinanamas

#7 conozco un Psiquiatra muy bueno llamado Frasier. Ahora en serio, haztelo mirar.

V 0
K 8