Durante este evento siempre se mira con lupa a los expertos en seguridad y los errores reportados, sobre todo aquellos relacionados con los principales navegadores de Internet. En esta ocasión, el bug mejor pagado ha sido uno relacionado con Google Chrome, convirtiéndose también en el mejor pagado de la historia del evento. Los patrocinadores del evento ofrecían en total algo más de medio millón de dólares en recompensas.
Para explotar el error era necesario hacer uso de un exploit programado con anterioridad que poseía nada más y nada menos que 2.000 líneas de código. Sin embargo, una vez que se ha pasado este escollo el hackeo del navegador se prolongaba durante poco más de dos minutos, alcanzando el resultado satisfactorio en un tiempo récord. El fallo consistía en desbordar el uso de la memoria del navegador, permitiendo de este modo el posterior hackeo, estando afectadas tanto la versión estable como la beta de este.
Gracias a este reporte, JungHoon Lee se ha embolsado en total 110.000 dólares, convirtiéndose en la recompensa más alta del evento hasta el momento.
Internet Explorer 11 y Safari también fueron hackeados
Dos de los principales navegadores también sucumbieron y finalmente fueron hackeados. En el caso del navegador de Microsoft fue el hacker conocido como TOCTOU el que consiguió vulnerar la seguridad, mientras que en el caso del navegador de los de Cupertino fue UAF el que consiguió romper la seguridad. En lo referido a la recompensa se llevaron 65.000 y 55.000 dólares respectivamente, una cifra alejada de la del navegador de los de Mountain View.
Nos faltaba hablar de Firefox, navegador que también sufrió un hackeo que reportó al descubridor de la vulnerabilidad 15.000 dólares. El error detectado permitía la ejecución de código de forma remota tras el transcurso de 30 minutos.
El evento de este año ha estado muy centrado en vulnerabilidades zero-day, reportándose hasta un total de 21 distintas repartidas entre los navegadores citados con anterioridad y Adobe Reader y Flash Player.
Se trata de una buena oportunidad para los desarrolladores de software, ya que este evento permite localizar fallos de seguridad y por lo tanto su posterior solución, algo que ya han realizado los chicos de Mozilla con su navegador.
Fuente | Softpedia