Tecnología

Safari 5.0.3 y Explorer 8 hackeados a la primera

Dentro de las conferencias de seguridad CanSecWest se desarrolla la competencia pwn2own en la que investigadores de diferentes compañías especializadas en seguridad intentan hacer que los navegadores ejecuten un código arbitrario (pwn). La seguridad de las dos versiones de los navegadores fue derribada en el primer intento.

La empresa francesa de seguridad VUPEN fue la primera en intentar hackear el Safari 5.0.3 instalado en un ordenador completamente parcheado ejecutando el Mac OS X 10.6.6. Según informa Peter Bright en ars techinca, tan sólo 5 segundos después de que el navegador visitara la página Web maliciosa diseñada específicamente por la compañía, se lanzó una aplicación inofensiva que demostró que se estaba ejecutando código arbitrario y se guardó un archivo en el disco duro demostrando que el sandbox había sido superado.

El navegador de Windows IE8 también fue hackeado en el primer intento. En este caso fue la compañía Harmony Security quien llevó acabo el exploit en el Explorer en el que también se ejecutó una aplicación y se guardó un archivo en el disco duro.

En cuanto a Firefox y Chrome el intento de ataque a ambos navegadores aún no se ha llevado a cabo. En el caso del navegador de Google la empresa que estaba registrada en pwn2own para intentar atacarlo decidió no presentarse, lo que se entiende ya que la última versión de Chrome, que precisamente incluye varias mejoras en seguridad, acaba de ser lanzada y los investigadores no han tenido tiempo de estudiarla y planear el ataque. Firefox será probado en una jornada posterior.

Seguridad en la Web

Este tipo de competiciones es muy interesante ya que pone de manifiesto los riesgos de la navegación por Internet y de la informática. Queda demostrado que el trabajo realizado por los grandes navegadores, en el apartado de seguridad, es insuficiente y deja a los usuarios desprotegidos ante ataques que pueden extraer datos sensibles o controlar su hardware.

Las compañías de seguridad, por otro lado, están encantadas de participar ya que demuestran la necesidad de utilizar sus productos.

En este enlace se puede ir al post de ars técnica.

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.