Com apenas dois dias da competição hacker Pwn2Own, dedicada a encontrar falhas de segurança em softwares populares, três navegadores tiveram suas defesas derrubadas pelas equipes que disputam os prêmios em dinheiro do evento. Desta vez, os alvos foram Safari, Firefox e Microsoft Edge.
O navegador da Apple foi derrotado por duas equipes diferentes. A primeira delas, formada por Amat Cama e Richard Zhu, utilizou uma técnica de força bruta para driblar a função de sandbox do Safari, ganhando um prêmio de US$ 55 mil. Em outro momento, um time diferente explorou um bug JIT do navegador ao acessar um site desenvolvido por eles. Como a Apple já estava ciente dessa falha, o prêmio foi menor, de US$ 45 mil.
Cama e Zhu também utilizaram um bug JIT para quebrar a segurança do Firefox, recebendo mais US$ 50 mil pelo feito. Tática parecida foi utilizada por Niklas Baumstark, que se aproveitou também de um bug de lógica para invadir o navegador da Mozilla e faturar US$ 40 mil.
Confirmed! The duo from @fluoroacetate used a JIT bug in #Firefox and an out-of-bounds write in the #Windows kernel to earn themselves $50,000 and 5 more Master of Pwn points. pic.twitter.com/fJPw2T9wJj
— Zero Day Initiative (@thezdi) 21 de março de 2019
E a dupla Cama e Zhu, que concorreu com o nome de Fluoroacetate, não estava para brincadeira. Depois de derrubar Safari e Firefox eles conseguiram fazer o mesmo com o Microsoft Edge, utilizando para isso uma estação virtual rodando o Windows. Foi o bastante para que recebessem US$ 130 mil de premiação.
Assim como acontece em todas as edições do Pwn2Own, os detalhes técnicos de cada falha foram informados apenas para as companhias responsáveis pelos navegadores. Elas têm um prazo de 90 dias para corrigir os problemas, época em que as informações serão divulgadas publicamente. O evento é patrocinado por Microsoft, Tesla e VMWare.
Fontes
Categorias