Safari cae el primer día de la Pwn2Own 2011

De un tiempo a esta parte y como cada año, se viene celebrando en la ciudad canadiense de Vancouver el evento Pwn2Own, donde los mejores hackers se reúnen para intentar encontrar vulnerabilidades en los navegadores más utilizados, como Safari, Chrome, Firefox o Internet Explorer.

Y el primero en caer ha sido Safari, el navegador por defecto en Mac.

Chaouki Bekrar, co-fundador de la empresa francesa de seguridad VUPEN consiguió ejecutar la calculadora y escribir en el disco desde el propio navegador y sin colgarlo, apenas cinco segundos después de visitar una página con código malicioso que aprovechaba una vulnerabilidad descubierta por ellos mismos en el navegador de Apple.

Bekrar utilizó un MacBook Air de 13″ que corría la última versión a 64 bits de Snow Leopard y se aprovechó de una vulnerabilidad descubierta en Webkit, el motor open source que utiliza el navegador, después de haber trabajado en ello durante semanas y partiendo de cero, sin la ayuda de ninguna documentación. Algo que aseguran que fue más difícil que descubrir la vulnerabilidad en sí, ya que existen bastantes agujeros en Webkit.

La recompensa para el equipo VUPEN ha sido de 15.000 dólares en metálico y un Macbook Air.

El premio para el resto, que somos nosotros, espero que venga en forma de actualizaciones que solucionen las vulnerabilidades descubiertas. Quizás esto ya se haya producido en la actualización más reciente de Safari, ya que el exploit se realizó en una versión del navegador anterior a esta actualización.

Vía | ZDnet

Seguridad Software #safari #vulnerabilidad