Un concursante de Pwn2Own 2021 gana 100.000 dólares por hackear Safari

Pwn2Own

En las televisiones de nuestro país estamos acostumbrados a ver los concursos más extraños y variopintos. Lejos ya del «1,2,3 responda otra vez» y del «humor amarillo» de los japoneses, hoy en día nos entretenemos viendo superproducciones de famosos aislados en islas desiertas, o cosas por el estilo.

Hay un concurso anual que para nosotros suele pasar inadvertido, pero tiene una gran cantidad de seguidores a nivel mundial. Se trata del «Pwn2Own«, donde se pone a prueba a los hackers más famosos haciéndoles «reventar» diferentes sistemas en directo. Uno de ellos ha ganado un buen pellizco al hackear un exploit de Safari.

Cada año, la Zero Day Initiative organiza un concurso de hacking denominado «Pwn2Own» donde los investigadores de seguridad pueden ganar dinero si encuentran vulnerabilidades graves en directo en las principales plataformas como Windows y macOS.

Este evento virtual «Pwn2Own 2021» comenzó a principios de esta semana y contó con 23 intentos de hacking separados en 10 productos diferentes, incluidos navegadores web, virtualización, servidores y demás. Un concurso de varias horas al día durante tres jornadas consecutivas, retransmitido en directo en YouTube.

Los sistemas de Apple no fueron muy atacados en esta edición del concurso, pero el primer día, Jack Dates de RET2 Systems ejecutó un exploit de Safari «to kernel zero-day» y se ganó 100.000 dólares. Utilizó un desbordamiento de enteros en Safari y una escritura OOB para obtener la ejecución de código a nivel del núcleo, como certifica el tweet de la organización.

No solo hackearon Safari

Otros intentos de hacking durante el evento «Pwn2Own» se dirigieron a Microsoft Exchange, Parallels, Windows 10, Microsoft Teams, Ubuntu, Oracle VirtualBox, Zoom, Google Chrome y Microsoft Edge, obteniendo más o menos fortuna.

Por ejemplo, los investigadores holandeses Daan Keuper y Thijs Alkemade, demostraron un grave defecto de seguridad en Zoom. El dúo explotó un trío de defectos para obtener el control total de un PC de destino usando la aplicación Zoom sin interacción del usuario.

Los concursantes de Pwn2Own recibieron más de 1,2 millones de dólares en recompensas por los errores que descubrieron. Pwn2Own da a proveedores como Apple 90 días para producir una corrección de las vulnerabilidades que se descubren, por lo que podemos esperar que el error se aborde en una próxima actualización.


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

bool(true)