Han bastado unas pocas horas desde su lanzamiento, para que la versión 8 del explorador de Microsoft, ya haya sido hackeada:
El investigador, un estudiante de ciencia de Alemania que solo dio su primer nombre, Nils, hackeo el navegador en minutos, explotando una vulnerabilidad hasta el momento desconocida de Internet Explorer 8 en la laptop Sony que utilizaba Windows 7.
TippingPoint, el patrocinador del concurso PWN2OWN, compra las vulnerabilidades y los derechos de los exploits cuando ofrece premios en efectivo en este concurso, y luego pasa la informacion al fabricante.
Segun Terri Forslof, gerente de seguridad de TippingPoint,
“Esta es la mejor parte del concurso PWN2OWN. Microsoft pudo presenciar lo sucedido, y a tan solo minutos del hackeo de IE8, TippingPoint proveyo de los detalles y codigo a Mike Reavey, gerente de operaciones de Microsoft Security Research Center (MSRC), quien se encontraba en la conferencia de seguridad CanSecWest, que organiza PWN2OWN.
La gente de Microsoft tuvo la oportunidad de hablar directamente con Nils sobre el bug, y en cinco horas ya lo habian reproducido en sus laboratorios.
Microsoft se nego a confirmar la vulnerabilidad, y utilizo su frase habitual cuando algun bug en sus productos toma estado publico
“Microsoft esta investigando reportes de una posible vulnerabilidad en Internet Explorer 8. Si esto se confirma, tomaremos acciones para proteger a nuestros usuarios.”
Pero IE8 no fue el unico navegador que Nils hackeo. Despues de penetrar en Internet Explorer 8, tambien lo hizo en Safari de Apple y Firefox de Mozilla, los cuales hackeo exitosamente con codigo de ataque que habia creado recientemente. Sus ganancias totales en el concurso fueron de 15.000 dolares en efectivo y la laptop Sony.
Antes de que Nils hiciera lo suyo en IE8, Charlie Miller tambien habia hackeado Safari en segundos, y gano un premio de 5.000 dolares y una notebook MacBook.
Segun las reglas de este concurso y las politicas de TippingPoint, los detalles de las vulnerabilidades se mantienen confidenciales hasta que el desarrollador lance un parche, para lo que se le brinda toda la informacin necesaria.
TippingPoint es una de las dos compañias de seguridad que ofrece recompensas en efectivo por descubri bugs en aplicaciones y si bien no da a conocer cuanto paga por una vulnerabilidad, en el pasado ha ofrecido recompensas de hasta 20.000 dolares.
El concurso PWN2OWN finaliza mañana, con navegadores de Microsoft, Mozilla, Apple y Google aun en juego. Una segunda parte del desafio pone a estos hackers contra cinco sistemas operativos de telefonos inteligentes o smatphones: Windows Mobile, Google Android, Symbian, y los sistemas operativos utilizados en iPhone y BlackBerry.