- Otras noticias
Inyección SQL en RSA Key Manager
La seguridad de Windows Vista en la mira
Múltiples vulnerabilidades en TYPO3
Denegación de servicio a través de consultas RRSIG en ISC BIND 9
Actualizaciones críticas para los navegadores más populares... en especial para Internet Explorer
Un nuevo troyano basado en Android y con contenido porno se pasea por los móviles
Usan el nombre de Arafat para la transmisión de virus.jpg)
Phishing de "Star Wars" en Yahoo Messenger
Comprometen la seguridad de RSA y roban información sobre el producto SecurID
Ejecución remota de código en BitTorrent y uTorrent
- En el foro
-
vulnerabilidades
Una vulnerabilidad en Safari puede reportar hasta 20.000 dólares
25 Abr 2007 | HISPASEC.COM
Shane Macaulay y Dino Dai Zovi consiguieron ejecutar código a través de Safari con privilegios del usuario que lanzase el navegador. En principio las reglas del concurso eran más estrictas: se pretendía que alguien ejecutase código con privilegios de root de forma remota sin necesidad de actividad alguna por parte del "atacado". Nadie fue capaz de conseguirlo en el tiempo estipulado, así que se permitió que el ataque se perpetrara a través de cierta interactuación de la víctima (visitando páginas) y añadieron 10000 dólares de premio al incentivo inicial (que consistía en ganar la propia máquina comprometida, un MacBook con Mac OS X 10.4.9).
Los investigadores descubrieron y prepararon en cuestión de horas un exploit funcional a través de una página web manipulada. Al ser visitada por Safari, se ejecutó código y consiguieron el premio que se elevó a 10.000 dólares y el propio ordenador. Sin embargo quieren sacar más partido a la vulnerabilidad. No han ofrecido ningún detalle sobre el fallo y pretenden apuntarse al carro del pago por vulnerabilidad. En este caso, su intención es ganar otros 10.000 dólares a través de la Zero Day Initiative que premia el descubrimiento de nuevas vulnerabilidades si se ceden en exclusiva a TippingPoint (filial de 3com que lo organiza) los detalles de cómo aprovecharla.
Un trabajo de apenas unas horas (según los descubridores les llevó nueve horas todo el proceso, descubrimiento y programación de exploit incluido) podría reportar a sus descubridores un total de un MacBook y 20.000 dólares (unos 15.000 euros a día de hoy).
Shane Macaulay y Dino Dai Zovi demuestran así que si juegan bien sus cartas y mueven inteligentemente su fichas cuando disponen de un conocimiento exclusivo, una vulnerabilidad puede llegar a ser bastante lucrativa, y no sólo en cuestión de renombre y prestigio.
Y todo esto sin pasearse por el "lado oscuro" (el mercado de las mafias informáticas) donde, con bastante probabilidad, muchas vulnerabilidades alcanzan un precio superior.
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
ahora quien se rie??
La vulnerabilidad afecta tanto a Windows como a MAC, asi pues los de Windows deberian de llorar por tener otro fallo en su sistema jajajjaja.
Si pagaran la mitad de eso por entrar en maquinas linux todo mundo seria millonario por que los linuxeros se conocen de cabo a ra.bo su SO y podrían hacer muchas cosas sin siquiera tocar la maquina victima, lo que nos demuestra lo "seguro" que es en realidad linux, en contraposición de todas las burlas y criticas que ellos dan de windows. Cuando aprendamos que la seguridad no esta en el sitema operativo sino en la mano del usuario dejaremos de hablar tonterías de uno u otro sistema y tal vez solo tal vez podamos compartir las ventajas de cada sistema.