Con motivo del concurso Pwn2Own 2018, los navegadores Microsoft Edge, Safari y Firefox, representaron los objetivos favoritos de los ‘hackers de sombrero blanco’ que asistentes del evento.
En la actualidad, cualquier tema relacionado con los navegadores web es importante, sobre todo cuando se trata de seguridad. Prueba de ello ha sido la Pwn2Own 2018, donde Richard Zhu, fue el encargado de ejecutar un exploit de EoP (Windows kernel Elevation of Privilege), que apuntó al navegador Firefox de Mozilla y vulneró la seguridad de este software con solo un intento.
Con esta acción, Zhu propició una escritura fuera de los límites OOB del navegador, lo que a su vez generó una saturación de la memoria kernel, lo que le hizo al informático hacerse con una recompensa de US$ 50,000. Es importante considerar que este mismo personaje fue premiado con US$ 120,000 en la pasada edición del Pwn2Own.
En el caso del software de navegación de Apple, Safari, los expertos en seguridad informática de Ret2 Systems, Nick Burnett, Patrick Biernat y Markus Gaasedelen, fueron los responsables de comprometer la seguridad del navegador en su cuarto intento a través de un EoP dispuesto en el núcleo del sistema macOS. A diferencia del caso anterior, la competencia implica que se demuestre éxito en los hackeos en no más de tres intentos, razón por la que los especialistas de Ret2 Systems no fueron premiados.
El bug que fue detectado por estos hackers de sombrero blanco ya fue notificado a Apple, que corregirá el error con una próxima actualización. En el caso de Safari, los expertos de MWR, Georgi Geshev, Fabi Beterke y Alex Plaskett, fueron los encargados de revelar el fallo de seguridad del navegador mediante el desbordamiento de búfer de pila con el fin de hacerse con los permisos para ejecutar el código. Estos hackers ganaron un premio de US$ 55,000.
Con estas revelaciones del Pwn2Own, quedan en evidencia los fallos de seguridad en Safari, Edge y Firefox, razón por la que esperamos que sean lanzadas actualizaciones para corregirlos en los próximos días.