Proponha uma correção, faça uma sugestão
A segurança do Edge cai por terra em poucos minutos no PwnFest
A Microsoft já anunciou o Edge como sendo o browser mais seguro da actualidade, batendo a concorrência e garantindo a protecção dos utilizadores.
Mas a verdade é que ontem, durante o primeiro dia da conferência PwnFest, este browser foi comprometido duas vezes e numa delas o processo demorou apenas 18 segundos.
A PwnFest é uma conferência dedicada à segurança e que dá espaço para os hackers mostrarem as suas capacidades contra os maiores softwares da actualidade. Na edição deste ano já existem as primeiras vítimas, com o Edge e o VMWare Workstation a terem visto a sua segurança comprometida.
As vulnerabilidades do Edge
O Edge foi até agora o único browser a ter sido atacado com sucesso, tendo caído às mãos dos hackers por duas vezes. Em ambas as situações foi possível explorar vulnerabilidades que levaram à execução de código no próprio sistema operativo.
Este feito foi conseguido por duas frentes distintas, tanto pela empresa de segurança chinesa Qihoo 360 como pelo hacker sul-coreano Junghoo Lee. Ambos arrecadaram um prémio de 140 mil dólares. No caso do ataque feito por Junghoo Lee, a sua duração foi de apenas 18 segundos, tendo depois acesso completo ao Windows 10.
No caso da empresa Qihoo 360, a sua equipa teve um trabalho acrescido pois 3 das 4 das falhas que conheciam foram resolvidas pela Microsoft na sua última actualização de segurança. A equipa demorou 30 horas a conseguir criar um novo ataque com sucesso.
O ataque ao VMWare Workstation
No caso do VMWare Workstation, estes mesmos elementos realizam com sucesso um ataque que, e este é um caso inédito, pode ser realizado remotamente e sem qualquer interação dos utilizadores. Neste caso o prémio foi mais elevado e rendeu a cada um 150 mil dólares.
No segundo dia da PwnFest os alvos vão ser diferentes. Há ainda os dispositivos móveis para atacar, outros browsers e outro software, como o Flash, que provavelmente vão cair também com facilidade. Todas as falhas descobertas são reportadas às empresas responsáveis pelo software e rapidamente resolvidas, como tem acontecido nos anos anteriores.
Este artigo tem mais de um ano
Loading ...
E nas definições remotas tiver marcado “Não permitir ligações remotas a este computador”, e desmarcado “permitir convites…. ” também é possível tomar conta do sistema?
Boa pergunta. Também gostaria de saber.
‘As vulmerabildiades do Edge’
Whooat?
Corrigido. Obrigado 🙂
Este titulo é tao injusto.
Normalmente estes investigadores passam meses a trabalhar para ser só chegar lá e aplicar a vulnerabilidade detectada.
Pplware, o meu whitelist para não estar sempre sempre sempre em moderação? :'(
Nem deverias estar moderado. Jé vejo o que se passa.
Obrigado
Não é injusto, porque foi mesmo em minutos, mas a verdade é mesmo essa e está explicado no artigo, eles andam meses a trabalhar na forma de furar a segurança. Mas depois, como aconteceu há uns anos, têm surpresas, a Google antes um dia do evento (salvo erro) actualizou a versão e eles patinaram 😉
Tal como no hackatron, a Google dá um prémio para encontrar e demonstrar uma vunerabilidade. Os “white-hats” fazem o em 2-3minutos… Mas obviamente houve investigação a longo prazo por trás… Não deixe de ser impressionante o facto de saber que uma vez descoberto, em pouco tempo se consegue explorar essa vunerabilidade.
@Pedro: Erro em “vulmerabildiades”
Corrigido 🙂
Importante a saber: Para terem hackeado o EDGE, tiveram a acesso físico ao pc ou foi remotamente? É que esta é uma questão muito importante saber.
Qihoo 360?! Deve ser para rir…
é que o quihoo 360 até nem é dos melhores antivirus gratuitos da atualidade….. é que enquanto o teu Eset ou avast ou o que quer que tu uses, o 360 conta com antivirus baseado em cloud, o seu proprio detetor de virus offline e ainda conta com a engine da bitdefender e avira, o que o torna até mais poderoso que muitos antivirus pagos por aí… não foi por acaso que a Av-test (ou terá sido a avcomparatives?) que o incluiu como um dos top5 em detenção de virus… o unico problema que tenho a apontar sobre o 360 é o consumo de recursos, ter tantas engines sai um pouco dispendioso… em detenção: 5/5, performance: 3/5, interface: 5/5. este foi o resultado da av-test para o quihoo 360 se bem me lembro. como disse, 5engines ao mesmo tempo sai caro, precisas de pelo menos 6GB de ram instalada no PC, mas foi o melhor antivirus gratuito que alguma vez usei.
Pode ser bom mas ter engines de outros av’s?! Algo não bate certo nisso.
@TiagoC
bate tudo certo. é markting. pura e simplesmente marketing. 2 empresas associam-se e por exemplo, como a quihoo ganha com o tracking e numero de instalações e assim, imagina, para ter a engine da Avira dá 30% do seu lucro à avira. aconteceu isto com a glasswire. a quihoo e a glasswire associaram-se e o 360 começou a ter uma firewall de terceiros no seu ambiente para publicitar a firewall. para isso ou a glasswire dá X% à quihoo do seu market share ou está a pagar para ter esta publicidade. pode acontecer o mesmo com a avira e bitdefender. todos os 3 querem ser conhecidos, que maneira melhor do que associarem-se?
O melhor antivírus de sempre é o BOM SENSO… E mais não digo :p
No futuro vamos ter que voltar ao papel e máquinas de escrever
É verdade que o Apple Safari foi em 20 segundos e o Adobe Flash em 4?
Não foi só o Edge, foi o smartphone Pixel (Google) em 60s, o safari em 4s e mais uns quantos.
A noticia era mto melhor com o recordista do safari…..
Deviam existir mais eventos como este e como os Bug Bash. Sendo que as falhas e bugs serão reportadas as respetivas empresas e devidamente resolvidas. 🙂