Durante a competição hacker Pwn2Own, realizada na semana passada, diversos pesquisadores mostraram como falhas no Microsoft Edge podem ser usadas para realizar uma série de atividades inesperadas. No caso, o foco foi conseguir “escapar” dos limites impostos pela máquina virtual VMware Workstation.
Entre aqueles que conseguiram abusar das brechas de segurança do navegador estão a empresa chinesa Qihoo 360 Security, que ganhou US$ 105 mil ao explorar três bugs do software. “Eles sucederam ao fazer um heap overflow no Microsoft Edge, uma confusão de digitação no kernel do Windows e um buffer não inicializado na VMware Workstation”, explica a Zero Day Initiative (ZDI).
A Tencent Security também conseguiu um feito semelhante explorando um bug de lógica presente no Edge durante o primeiro dia de competição. A companhia voltou a demonstrar sua capacidade durante o último dia do evento, usando uma cadeia de três bugs para ganhar permissões dentro da máquina virtual e sair dela — o que rendeu US$ 100 mil à equipe.
Preocupação crescente de segurança
Esses feitos fizeram com que a 360 Security e a Tencent Security ganhassem, respectivamente, o primeiro e o segundo lugar da competição. O que torna as ações dignas de atenção é o fato de que máquinas virtuais são cada vez mais importantes para corporações que não querem que todas as pessoas conectadas a um servidor tenham acesso a informações delicadas.
2017 marca o primeiro ano do Pwn2Own em que pesquisadores de segurança visam à tecnologia, demonstrando que não há nada conectado à internet que seja 100% seguro. Além do Edge, softwares como o Flash, o kernel do macOS, o Safari e o Ubuntu foram usados como base dos métodos necessários para explorar brechas de segurança.
)
)
)
)
)
)
)
)
)
)
)
)
)
