Pwn2Own: Exploits para Adobe Flash, Reader e Java

O segundo dia da competição Pwn2Own no CanSecWest, foi novamente bem sucedido para a especialista francesa em segurança Vupen, pelo fato deles terem conseguido explorar vulnerabilidades no Adobe Flash no Internet Explorer 9 no Windows 7, através de um encadeamento de três falhas 0-Day (um overflow, uma técnica de bypass ASLR e uma corrupção de memória no sandbox IE9), ganhando por isso a quantia de US $ 70.000. Na sequência de exploits, George Hotz explorou falha no Adobe Reader XI (também no IE 9 no Win7), e Ben Murphy - o último competidor a ter o Java como alvo - também conseguiu ganhar um prêmio, mesmo ele não estando lá, porque James Forshaw, vencedor da competição do dia anterior, concordou em servir como proxy e demonstrar o ataque.


Ao todo, a ZDI premiou os competidores com mais de meio milhão de dólares em prêmios em dinheiro. Além disso, o Google financiou o concurso hacking Pwnium - também realizado no CanSecWest - que este ano requer concorrentes que sejam hábeis em técnicas de "cracking" no Chrome OS. Entretanto, até agora, não foi vista nenhuma uma exploração bem sucedida.


Saiba Mais:

[1] Net Security http://www.net-security.org/secworld.php?id=14568