Java, IE 10, Chrome y Firefox caen en el primer día de la PWN2OWN
Durante estos días se está celebrando la PWN2OWN 2013, un evento en el que se buscan vulnerabilidades principalmente en navegadores, con la peculiaridad de que existen premios en metálico para aquellos que descubran primero un fallo de seguridad.
Este evento adquiere mucha atención por parte de los empresas puesto son informados inmediatamente de las vulnerabilidades que allí se descubren. Obviamente, ninguna empresa quiere serla primera en caer ni ser la que más fallos de seguridad tenga, por lo que en los días previos a esta competición es bastante común que aparezcan nuevas versiones del software que va a ser analizado.
Durante el primer día de la edición de este año se han descubierto vulnerabilidades en los navegadores Internet Explorer 10, Chrome y Firefox, todos ellos funcionando en Windows. Sorprendentemente, uno de los primeros en caer en anteriores ocasiones, Safari bajo Mac OS/X, ha aguantado los intentos de los investigadores de descubrir posibles vulnerabilidades, aunque aun queda tiempo para que también se vea comprometido.
Hay que tener en cuenta que, en esta competición, se ha de conseguir un ataque con éxito, entendiendo por esto que no debe haber interacción del usuario. De esta forma, las vulnerabilidades descubiertas podrían descargar y ejecutar malware con tan solo visitar un enlace malicioso. Se pueden ver los resultados actualizados en la siguiente web.
Java, uno de los protagonistas indiscutibles recientemente en temas de seguridad informática, ha visto su seguridad comprometida no una sino tre veces en esta competición. Esto, unido a las recientes y constantes vulnerabilidades descubiertas demuestra que el software de Oracle no está pasando por su mejor momento precisamente.
La realización de este tipo de competiciones es importante viendo el panorama actual de comercialización con vulnerabilidades. El dinero que ganan los investigadores y la información sobre los agujeros de seguridad descubiertos que obtienen los fabricantes es beneficioso para ambos lados. En el lado opuesto, el comercio de este tipo de vulnerabilidades en el mercado negro solo beneficia a aquellos investigadores que quieran un beneficio neto rápido, poniendo en riesgo la seguridad de muchos usuarios.
Dejando aparte las típicas discusiones sobre la publicación de una vulnerabilidad de forma “responsable” o «pública», lo importante aquí es destacar que hay personas dedicadas a investigar posibles fallos de seguridad en las aplicaciones que usamos a diario. Lo mínimo que podemos hacer (premios monetarios aparte) es reconocerles este mérito a estos investigadores y hackers, puesto que ellos ayudan a hacer de Internet y nuestros sistemas algo más seguro.
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.