Browsers

A segurança do Edge cai por terra em poucos minutos no PwnFest

22 Comentários

A Microsoft já anunciou o Edge como sendo o browser mais seguro da actualidade, batendo a concorrência e garantindo a protecção dos utilizadores.

Mas a verdade é que ontem, durante o primeiro dia da conferência PwnFest, este browser foi comprometido duas vezes e numa delas o processo demorou apenas 18 segundos.

Edge PwnFest

A PwnFest é uma conferência dedicada à segurança e que dá espaço para os hackers mostrarem as suas capacidades contra os maiores softwares da actualidade. Na edição deste ano já existem as primeiras vítimas, com o Edge e o VMWare Workstation a terem visto a sua segurança comprometida.

As vulnerabilidades do Edge

O Edge foi até agora o único browser a ter sido atacado com sucesso, tendo caído às mãos dos hackers por duas vezes. Em ambas as situações foi possível explorar vulnerabilidades que levaram à execução de código no próprio sistema operativo.

Este feito foi conseguido por duas frentes distintas, tanto pela empresa de segurança chinesa Qihoo 360 como pelo hacker sul-coreano Junghoo Lee. Ambos arrecadaram um prémio de 140 mil dólares. No caso do ataque feito por Junghoo Lee, a sua duração foi de apenas 18 segundos, tendo depois acesso completo ao Windows 10.

Edge PwnFest
Junghoon Lee mostra a falha do Edge

No caso da empresa Qihoo 360, a sua equipa teve um trabalho acrescido pois 3 das 4 das falhas que conheciam foram resolvidas pela Microsoft na sua última actualização de segurança. A equipa demorou 30 horas a conseguir criar um novo ataque com sucesso.

O ataque ao VMWare Workstation

No caso do VMWare Workstation, estes mesmos elementos realizam com sucesso um ataque que, e este é um caso inédito, pode ser realizado remotamente e sem qualquer interação dos utilizadores. Neste caso o prémio foi mais elevado e rendeu a cada um 150 mil dólares.

No segundo dia da PwnFest os alvos vão ser diferentes. Há ainda os dispositivos móveis para atacar, outros browsers e outro software, como o Flash, que provavelmente vão cair também com facilidade. Todas as falhas descobertas são reportadas às empresas responsáveis pelo software e rapidamente resolvidas, como tem acontecido nos anos anteriores.

PwnFest 2016

PUB
Autor: Pedro Simões
Partilhar:
Tags:
Edge Microsoft Pwnfest

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Unboxing ao smartphone Cubot Max
Artigo anterior

Unboxing ao smartphone Cubot Max
E o fabricante do seu Android, tem lançado actualizações?
Próximo artigo

E o fabricante do seu Android, tem lançado actualizações?
PUB

Comentários

22

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Nelson N
    Nelson N

    E nas definições remotas tiver marcado “Não permitir ligações remotas a este computador”, e desmarcado “permitir convites…. ” também é possível tomar conta do sistema?

    Responder
    1. Avatar de MalicX
      MalicX

      Boa pergunta. Também gostaria de saber.

      Responder
  2. Avatar de Atento
    Atento

    ‘As vulmerabildiades do Edge’

    Whooat?

    Responder
    1. Avatar de Daniel Jesus
      Daniel Jesus

      Corrigido. Obrigado 🙂

      Responder
  3. Avatar de daiquiri
    daiquiri

    Este titulo é tao injusto.
    Normalmente estes investigadores passam meses a trabalhar para ser só chegar lá e aplicar a vulnerabilidade detectada.

    Responder
    1. Avatar de daiquiri
      daiquiri

      Pplware, o meu whitelist para não estar sempre sempre sempre em moderação? :'(

      Responder
      1. Avatar de Vítor M.
        Vítor M.

        Nem deverias estar moderado. Jé vejo o que se passa.

        Responder
        1. Avatar de daiquiri
          daiquiri

          Obrigado

          Responder
    2. Avatar de Vítor M.
      Vítor M.

      Não é injusto, porque foi mesmo em minutos, mas a verdade é mesmo essa e está explicado no artigo, eles andam meses a trabalhar na forma de furar a segurança. Mas depois, como aconteceu há uns anos, têm surpresas, a Google antes um dia do evento (salvo erro) actualizou a versão e eles patinaram 😉

      Responder
    3. Avatar de LG
      LG

      Tal como no hackatron, a Google dá um prémio para encontrar e demonstrar uma vunerabilidade. Os “white-hats” fazem o em 2-3minutos… Mas obviamente houve investigação a longo prazo por trás… Não deixe de ser impressionante o facto de saber que uma vez descoberto, em pouco tempo se consegue explorar essa vunerabilidade.

      @Pedro: Erro em “vulmerabildiades”

      Responder
      1. Avatar de Daniel Jesus
        Daniel Jesus

        Corrigido 🙂

        Responder
  4. Avatar de joao
    joao

    Importante a saber: Para terem hackeado o EDGE, tiveram a acesso físico ao pc ou foi remotamente? É que esta é uma questão muito importante saber.

    Responder
  5. Avatar de TiagoC
    TiagoC

    Qihoo 360?! Deve ser para rir…

    Responder
    1. Avatar de khidreal
      khidreal

      é que o quihoo 360 até nem é dos melhores antivirus gratuitos da atualidade….. é que enquanto o teu Eset ou avast ou o que quer que tu uses, o 360 conta com antivirus baseado em cloud, o seu proprio detetor de virus offline e ainda conta com a engine da bitdefender e avira, o que o torna até mais poderoso que muitos antivirus pagos por aí… não foi por acaso que a Av-test (ou terá sido a avcomparatives?) que o incluiu como um dos top5 em detenção de virus… o unico problema que tenho a apontar sobre o 360 é o consumo de recursos, ter tantas engines sai um pouco dispendioso… em detenção: 5/5, performance: 3/5, interface: 5/5. este foi o resultado da av-test para o quihoo 360 se bem me lembro. como disse, 5engines ao mesmo tempo sai caro, precisas de pelo menos 6GB de ram instalada no PC, mas foi o melhor antivirus gratuito que alguma vez usei.

      Responder
      1. Avatar de TiagoC
        TiagoC

        Pode ser bom mas ter engines de outros av’s?! Algo não bate certo nisso.

        Responder
        1. Avatar de khidreal
          khidreal

          @TiagoC
          bate tudo certo. é markting. pura e simplesmente marketing. 2 empresas associam-se e por exemplo, como a quihoo ganha com o tracking e numero de instalações e assim, imagina, para ter a engine da Avira dá 30% do seu lucro à avira. aconteceu isto com a glasswire. a quihoo e a glasswire associaram-se e o 360 começou a ter uma firewall de terceiros no seu ambiente para publicitar a firewall. para isso ou a glasswire dá X% à quihoo do seu market share ou está a pagar para ter esta publicidade. pode acontecer o mesmo com a avira e bitdefender. todos os 3 querem ser conhecidos, que maneira melhor do que associarem-se?

          Responder
      2. Avatar de NT
        NT

        O melhor antivírus de sempre é o BOM SENSO… E mais não digo :p

        Responder
  6. Avatar de Taconi Dantas
    Taconi Dantas

    No futuro vamos ter que voltar ao papel e máquinas de escrever

    Responder
  7. Avatar de daiquiri
    daiquiri

    É verdade que o Apple Safari foi em 20 segundos e o Adobe Flash em 4?

    Responder
  8. Avatar de António
    António

    Não foi só o Edge, foi o smartphone Pixel (Google) em 60s, o safari em 4s e mais uns quantos.

    Responder
    1. Avatar de daiquiri
      daiquiri

      A noticia era mto melhor com o recordista do safari…..

      Responder
  9. Avatar de PeFerreira98
    PeFerreira98

    Deviam existir mais eventos como este e como os Bug Bash. Sendo que as falhas e bugs serão reportadas as respetivas empresas e devidamente resolvidas. 🙂

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.