Firefox el que más ataques tuvo en Pwn2Own 2014… con éxito.
Pwn2Own es el concurso del CanSecWest en donde los investigadores de seguridad son premiados por comprometer la seguridad de las aplicaciones y sistemas con vulnerabilidades que no han sido publicadas. Este año se entregaron 850 mil dólares en premios por demostrar cómo la seguridad ha fallado en las aplicaciones objeto del concurso.
Los expertos de seguridad participantes en el Pwn2Own 2014 intentaron demostrar fallos de seguridad en Mozilla Firefox, Microsoft Internet Explorer 11, Google Chrome, Apple Safari, Adobe Flash, Adobe Reader, y Oracle Java. El software más atacado fue Firefox (4) y el menos Oracle Java (1). Todos los ataques a Firefox fueron exitosos.
Mozilla Firefox fue comprometido por Jüri Aedla, George Hotz, y el equipo VUPEN quienes demostraron vulnerabilidades que resultaron en la ejecución de código. El experto Mariusz Mlynski demostró otras dos vulnerabilidades en Firefox que pueden ocasionar, una la escalación de privilegios y otra el evitar las medidas de seguridad en el popular navegador.
Internet Explorer fue vulnerado por Sebastian Apelt y Andreas Schmidt, quienes demostraron tres vulnerabilidades que resultaron en la ejecución de la calculadora del sistema. En tanto el equipo VUPEN demostró una vulnerabilidad que resultó en evitar la sandbox.
Google Chrome fue vulnerado por el equipo VUPEN y por un participante anónimo, quienes demostraron vulnerabilidades que resultaron en la ejecución de código. Google ya ha actualizado Chrome corrigiendo las vulnerabilidades explotadas en Pwn2Own 2014, publicando las versiones 33.0.1750.152 de Chrome para Mac y Linux, y 33.0.1750.154 de Chrome para Windows. El equipo de Google anticipa cambios adicionales y el endurecimiento de las medidas para estas vulnerabilidades.
Apple Safari fue comprometido por Liang Chen, del Keen Team, al demostrar una vulnerablidad que resultó en la ejecución de código.
Adobe Flash fue comprometido por Zeguang Zhao, de team509, Liang Chen, de Keen Team, y el equipo VUPEN quienes demostraron vulnerabilidades que resultaron en la ejecución de código.
El equipo VUPEN demostró una vulnerabilidad en Adobe Reader, que resultó en la ejecución de código.
Los expertos fueron premiados por demostrar las vulnerabilidades día-cero y explotarlas exitosamente. En total se ganaron 850 mil dólares. Los fabricantes ya trabajan en las actualizaciones para corregir los fallos explotados en el Pwn2Own 2014.