Microsoft Edge dá vexame em competição hacker

A competição hacker Pwn2Own é uma das mais conhecidas do mundo e costuma não deixar muita gente livre de ter as suas falhas exploradas pelos especialistas. Neste ano, depois de explorar uma brecha do Safari, os hackers conseguiram hackear o Microsoft Edge também no primeiro dia do evento.

O responsável pelo feito programa da Microsoft foi Richard Zhu, conhecido pelo apelido Fluorescence. Ele explorou dois bugs use-after-free do kernel e do navegador e, com isso, pôde rodar seu código malicioso com privilégio de administrador. Segundo o ZDI, isso rendeu a Zhu a premiação de US$ 70 mil e sete pontos de Master of Pwn.

Um pouco antes, o hacker tentou realizar a mesma ação no Safari, o navegador da Apple, mas não obteve sucesso. Contudo, outro hacker explorou uma falha na otimização JIT do software a fim de obter acesso à touchbar de um MacBook Pro. Por esse feito, o competidor Samuel Groß recebeu US$ 65 mil.

Agradecemos ao Celso, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Firefox: “muito fácil de ser hackeado”

Firefox-03A competição Pwn2Own é realizada anualmente durante a conferência de segurança CanSecWest. Nela pesquisadores de segurança e hackers demonstram suas habilidades explorando em tempo real falhas de segurança em sistemas operacionais totalmente atualizados.

Neste ano, a competição será patrocinada pela Hewlett-Packard Enterprise (HPE) e pela fornecedora de soluções de segurança Trend Micro.

Na edição de 2015, foram distribuídos mais de US$ 570.000 em prêmios para os competidores.

Firefox não será um dos alvos na competição PWN2OWN 2016
Para a edição de 2016 da competição Pwn2Own, será pago um prêmio de US$ 65.000 para quem conseguir hackear o Google Chrome em um computador com o Windows 10 totalmente atualizado e com o Microsoft Enhanced Mitigation Experience Toolkit (EMET) instalado.

O mesmo valor será pago para quem conseguir hackear o navegador Microsoft Edge.

A edição de 2016 da competição Pwn2Own também pagará um prêmio adicional de US$ 60.000 para quem conseguir explorar falhas no Flash Player do navegador Microsoft Edge.

Ainda sobre os navegadores, será pago um prêmio de US$ 40.000 para quem conseguir hackear o navegador Safari no OS X também totalmente atualizado.

E o Firefox? De acordo com declarações de Brian Gorenc, gerente para pesquisa de vulnerabilidades na Hewlett-Packard Enterprise, o navegador da Mozilla não será um dos alvos porque é “muito fácil” hackeá-lo.

O foco da competição será nos navegadores de empresas que tomaram medidas sérias para melhorar sua segurança em relação ao ano passado.

A edição de 2016 da competição também oferecerá outras oportunidades para os participantes que desejam ganhar mais algum dinheiro. Um dos prêmios será pago para quem conseguir explorar com sucesso falhas de segurança no VMware Workstation, por exemplo.

Agradecemos ao Davi e ao Igor, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Baidu admite ter trapaceado em competição

baiduEm Maio deste ano, o Baidu venceu o Google e o Bing em uma disputa de supercomputadores. Meses depois, admite que trapaceou para ganhar.

Durante o ImageNet Large Scale Visual Recognition Challenge (ILSVRC), uma competição envolvendo reconhecimento de imagens complexas, os supercomputadores do Baidu teriam obtido taxas de erro inferiores a de seus reconhecimentos. O Baidu teria atingido a marca de 4.58% de erro em classificação de objetos, contra 4.82% obtidos pelo Google e 4.9% da Microsoft.

Mas, na semana passada, dois cientistas do Baidu responsáveis pelo teste, teriam confessado que a empresa violou as regras da competição. De acordo com o regulamento, cada competido poderia consultar o banco de dados de imagens do desafio duas vezes por semana para melhorar a performance de seus sistemas.

Segundo um dos cientistas, o Baidu teria realizado 200 vezes mais consultas além do permitido. Um relatório da NetEase apontou que teriam sido criadas 30 contas diferentes para utilizar o sistema e que, em apenas cinco dias de Março, mais de 40 consultas teriam sido realizadas em nome do Baidu.

Os organizadores do desafio anual baniram o Baidu de participar da edição de 2016.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte UOL

Windows Phone resiste à teste de segurança

windows_phoneA HP promoveu nos dias 11 e 12 de novembro em Tóquio, Japão, uma nova edição da competição Pwn2Own com foco em dispositivos móveis. No evento, pesquisadores de segurança, desenvolvedores e hackers competiram para ver quem conseguia hackear os aparelhos usando falhas ainda desconhecidas.

As falhas exploradas eram então reportadas para os fabricantes para que elas pudessem ser corrigidas.

Competição PWN2OWN

Durante a competição Pwn2Own, um prêmio de US$ 425.000 estava disponível para quem fosse capaz de hackear um smartphone através da exploração de uma falha desconhecida e assim tomar o controle completo do aparelho em menos de 30 minutos.

Entre os aparelhos que foram hackeados com sucesso durante a competição estão o iPhone 5S, Blackberry Z30, Amazon Fire, Google Nexus 7, Samsung Galaxy 5 e LG Nexus 5.

Cinco equipes exploraram as falhas de segurança com sucesso e conseguiram tomar o controle de cinco aparelhos. Três das tentativas bem-sucedidas usaram a tecnologia NFC para permitir a extração de dados dos aparelhos. Os outros dois ataques usaram falhas nos navegadores de internet.

Um detalhe é que durante esta edição da competição Pwn2Own, o Windows Phone não fez feio.

Nico Joly, único competidor que tentou hackear um smartphone com Windows Phone, que neste caso é o Lumia 1520, não conseguiu tomar o controle do aparelho. Usando uma falha no Internet Explorer ele foi capaz apenas de acessar o banco de dados de cookies.

Entre os vencedores da competição Pwn2Own com foco em dispositivos móveis estão o especialista em segurança Adam Laurie, a equipe japonesa Team MBSD e a sul-africana MWR InfoSecurity.

Agradecemos ao Lucas, amigo colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo