Java, IE 10, Chrome y Firefox caen en el primer día de la PWN2OWN

Durante estos días se está celebrando la PWN2OWN 2013, un evento en el que se buscan vulnerabilidades  principalmente en navegadores, con la peculiaridad de que existen premios en metálico para aquellos que descubran primero un fallo de seguridad.

Este evento adquiere mucha atención por parte de los empresas puesto son informados inmediatamente de las vulnerabilidades que allí se descubren. Obviamente, ninguna empresa quiere serla primera en caer ni ser la que más fallos de seguridad tenga, por lo que en los días previos a esta competición es bastante común que aparezcan nuevas versiones del software que va a ser analizado.

Durante el primer día de la edición de este año se han descubierto vulnerabilidades en los navegadores Internet Explorer 10, Chrome y Firefox, todos ellos funcionando en Windows. Sorprendentemente, uno de los primeros en caer en anteriores ocasiones, Safari bajo Mac OS/X, ha aguantado los intentos de los investigadores de descubrir posibles vulnerabilidades, aunque aun queda tiempo para que también se vea comprometido.

Hay que tener en cuenta que, en esta competición, se ha de conseguir un ataque con éxito, entendiendo por esto que no debe haber interacción del usuario. De esta forma, las vulnerabilidades descubiertas podrían descargar y ejecutar malware con tan solo visitar un enlace malicioso. Se pueden ver los resultados actualizados en la siguiente web.

Java, uno de los protagonistas indiscutibles recientemente en temas de seguridad informática, ha visto su seguridad comprometida no una sino tre veces en esta competición. Esto, unido a las recientes y constantes vulnerabilidades descubiertas demuestra que el software de Oracle no está pasando por su mejor momento precisamente.

La realización de este tipo de competiciones es importante viendo el panorama actual de comercialización con vulnerabilidades. El dinero que ganan los investigadores y la información sobre los agujeros de seguridad descubiertos que obtienen los fabricantes es beneficioso para ambos lados. En el lado opuesto, el comercio de este tipo de vulnerabilidades en el mercado negro solo beneficia a aquellos investigadores que quieran un beneficio neto rápido, poniendo en riesgo la seguridad de muchos usuarios.

Dejando aparte las típicas discusiones sobre la publicación de una vulnerabilidad de forma “responsable” o “pública”, lo importante aquí es destacar que hay personas dedicadas a investigar posibles fallos de seguridad en las aplicaciones que usamos a diario. Lo mínimo que podemos hacer (premios monetarios aparte) es reconocerles este mérito a estos investigadores y hackers, puesto que ellos ayudan a hacer de Internet y nuestros sistemas algo más seguro.

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..