Após Pwn2Own, Mozilla e Google corrigem browsers

A Google e a Mozilla apressaram-se a corrigir as falhas identificadas por investigadores no concurso hacker Pwn2Own.

Apenas um dia depois de investigadores terem “hackeado” o Chrome e o Firefox no concurso Pwn2Own, a Google e a Mozilla corrigiram as falhas nos seus browsers.

A actualização para o Chrome 25 surgiu cerca de 24 horas depois após dois investigadores da empresa de segurança inglesa MWR InfoSecurity terem explorado múltiplos “bugs” nesse browser no Windows 7.

Em troca do código de ataque e das vulnerabilidades, o alemão Nils – ele quer ser conhecido apenas pelo primeiro nome – e Jon Butler ganharam 100 mil dólares, dados pelos organizadores do Pwn2Own HP TippingPoint e o seu programa de recompensas pela descoberta de “bugs”.

A rápida actualização quase bateu o recorde do ano passado, quando as várias vulnerabilidades do Chrome foram corrigidas em menos de 24 horas depois de investigadores as revelarem num concurso patrocinado pela empresa.

Firefox
A Mozilla também corrigiu o seu browser na quinta-feira, fechando um “buraco” identificado pela equipe de investigadores da empresa francesa Vupen. A descoberta resultou num prémio de 60 mil dólares em dinheiro, um notebook e outros benefícios.

“Recebemos os detalhes técnicos na quarta-feira e em menos de 24 horas diagnosticámos o problema, desenvolvemos um ‘patch’, validámos a correção e os resultados e implantámos a actualização aos utilizadores”, disse o diretor de garantia de segurança da Mozilla, Michael Coates, no blogue da empresa.

A Mozilla estava à espera de corrigir o Firefox e tinha-se preparado para o que a empresa chama de “chemspill”, ou actualização de emergência, antes de o Pwn2Own começar.

O Firefox 19.0.2, como o Chrome 25, já foi disponibilizado aos utilizadores – a maioria deles recebeu a actualização automaticamente pelo mecanismo de “update” automático do browser.

Internet Explorer
O outro browser “hackeado” no concurso foi o Internet Explorer 10 (IE10), que ainda não foi corrigido. É possível, mas muito improvável dada as práticas da Microsoft, que uma correção seja incluída na Patch Tuesday agendada para 12 de Março.

No Twitter, o chefe de pesquisa e CEO da Vupen, Chaouki Bekrar, disse que a falha que a sua equipa implantou funcionava contra o IE10 no desktop “clássico” do Windows 8 e também no browser para a interface Modern.

Na quinta-feira, o Pwn2Own continuou com a equipa da Vupen a explorar com sucesso o “plug-in” do Flash. George Hotz, hacker de 23 anos mais conhecido pelo “jailbreak” do iPhone e da Playstation 3, atacou também o Adobe Reader. Vupen e Hotz receberam 70 mil dólares cada um pelas vulnerabilidades.

O Java também foi hackeado por Ben Murphy, registando quatro falhas no total. O investigador, assim como os outros que “crackaram” o software, recebeu 20 mil dólares.

O total de prémios distribuídos durante os dois dias do Pwn2Own totalizou 480 mil dólares, um recorde para o concurso, na sua oitava edição. A equipa da Vupen levou para casa 250 mil dólares pelos “exploits” do IE10, Firefox, Flash e Java.
(Computerworld/IDG Now!)




Deixe um comentário

O seu email não será publicado