Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
marzo
(Total:
39
)
- Vulnerabilidad crítica en IIS 6.0: Más de 8,3 mill...
- Telegram incorpora llamadas de voz y 2 minutos par...
- Lavavajillas para hospitales incluye grave fallo d...
- Fin de vida: se acabó el ciclo de soporte a Window...
- Extensión de Metasploit: RFTransceiver permite tes...
- Herramientas Hacking de la CIA para los Mac e iPhone
- Descubierto grave fallo en LastPass que permite ro...
- Extorsionan a Apple: piden dinero a cambio de no b...
- Granjeros americanos utilizan firmware alternativo...
- Intel presenta SSD Optane, tan rápido que se puede...
- Vulnerabilidad crítica para 300 modelos de disposi...
- Mozilla corrige una vulnerabilidad de Firefox 22 h...
- MOSH, SSH estable, rápido y basado en UDP
- USB Kill versión 3.0 con más poder de destrucción ...
- Pwn2Own 2017: Caen Windows, Ubuntu, Edge, Safari, ...
- 18 mil dólares de premio por encontrar grave fallo...
- EE.UU. acusa a dos oficiales de la Inteligencia ru...
- El creador del ransomware CryptoLocker, Bogachev: ...
- Un padre inocente arrestado por pedofilia por una ...
- Es posible hackear teléfonos mediante ondas sonoras
- Empresa consoladores que espían usuarios multada a...
- Protege tus puertos USB de pendrives roba datos
- Google presenta los nuevos reCAPTCHA invisibles pa...
- Recompensa de 5 mil $ por encontrar fallo en app d...
- Cómo proteger correctamente la seguridad de WordPress
- Cerca de 200 mil cámaras Wifi chinas vulnerables e...
- Actualizada la distibución Parrot Security OS vers...
- Disponibles Tails 2.11 y Tor Browser 6.5.1
- Disponible actualización de seguridad para WordPress
- WikiLeaks revela las herramientas hacking de la CIA
- Alertan de varios fallos de seguridad en los NAS d...
- Nueva campaña Ransomware CryptoLocker con extensió...
- Dridex, el troyano bancario más complejo y temido
- Ataque de las alertas y el script Zombie en Intern...
- Un comando mal escrito, el motivo de la caída de A...
- Grave fallo de Inyección SQL en plugin de WordPres...
- NVIDIA anuncia la GEFORCE GTX 1080 TI
- Hackathon de ciberseguridad 4YFN-Mobile World Cong...
- Yahoo! desvela otro hackeo, y ya es el tercero
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Mozilla corrige una vulnerabilidad de Firefox 22 horas después de ser descubierta en Pwn2Own
martes, 21 de marzo de 2017
|
Publicado por
el-brujo
|
Editar entrada
Los ingenieros de Mozilla han publicado Firefox 52.0.1 para corregir una fallo de seguridad que salió a la luz el pasado viernes, en el concurso
de hacking Pwn2Own edición 2017. En total, los ingenieros de Mozilla tardaron 22 horas desde el momento en que se utilizó el error durante el
concurso, el viernes 17 de marzo, y cuando Mozilla publicó Firefox
52.0.1.
La vulnerabilidad (CVE-2017-5428) fue descubierta y utilizada con éxito por el Chaitin Security Research Lab de Beijing, China, que explotó Firefox con un desbordamiento de enteros y escaló privilegios a través de un buffer no inicializado en el kernel de Windows, para obtener privilegios a nivel de sistema. Los investigadores ganaron $ 30,000 por su cadena de explotación.
La competición de Pwn2Own es organizada cada año por Trend Micro, a través de su grupo Zero Day Initiative (ZDI). Este año fue la décima edición de Pwn2Own, y Trend Micro estaba preparado para ofrecer hasta $ 1 millón en premios de dinero.
Después de tres días de competición, se repartieron en total $ 833.000 de dinero en dólares. El Chaitin Security Research Lab, el equipo que descubrió el día cero de Firefox, terminó tercero detrás del equipo de 360 Seguridad de Qihoo y el Equipo de Sniper de Tencent Security.
Team
Este año, los participantes hackearon Windows, Windows Server, MacOS, Ubuntu, Adobe Reader, Adobe Flash Player, Microsoft Edge, Safari, Firefox y VMWare.
El exploit más creativo generó a los investigadores 105.000 dólares de una sola vez. Los investigadores de Qihoo 360 utilizaron un sitio web malicioso para desencadenar un desbordamiento de heap en Edge para escalar el acceso al sistema operativo Windows subyacente, donde utilizaron un error de confusión de tipo para obtener privilegios de kernel, que luego utilizaban para explotar un búfer no inicializado y escapar de VMWare Workstation (Máquina virtual), obteniendo control sobre el servidor / máquina subyacente.
Fuente:
https://www.bleepingcomputer.com/news/security/it-took-mozilla-22-hours-to-patch-a-firefox-vulnerability-discovered-at-pwn2own/
La vulnerabilidad (CVE-2017-5428) fue descubierta y utilizada con éxito por el Chaitin Security Research Lab de Beijing, China, que explotó Firefox con un desbordamiento de enteros y escaló privilegios a través de un buffer no inicializado en el kernel de Windows, para obtener privilegios a nivel de sistema. Los investigadores ganaron $ 30,000 por su cadena de explotación.
Chaitin Security Research Lab (@ChaitinTech) targeting Mozilla Firefox with a SYSTEM-level escalation
SUCCESS: The Chaitin Security Research Lab (@ChaitinTech) team finish their Pwn2Own by exploiting Firefox with an integer overflow and escalating privileges through uninitialized buffer in the Windows kernel.
Bug descubierto durante la competición en Pwn2Own
La competición de Pwn2Own es organizada cada año por Trend Micro, a través de su grupo Zero Day Initiative (ZDI). Este año fue la décima edición de Pwn2Own, y Trend Micro estaba preparado para ofrecer hasta $ 1 millón en premios de dinero.
integer overflow in createImageBitmap()
- Announced
- March 17, 2017
- Impact
- critical
- Products
- Firefox, Firefox ESR
- Fixed in
-
- Firefox 52.0.1
- Firefox ESR 52.0.1
#CVE-2017-5428: integer overflow in createImageBitmap()
- Reporter
- Chaitin Security Research Lab via Trend Micro's Zero Day Initiative
- Impact
- critical
Description
An integer overflow increateImageBitmap()
was reported through the Pwn2Own contest. The fix for this vulnerability disables the experimental extensions to the createImageBitmap
API. This function runs in the content sandbox, requiring a second vulnerability to compromise a user's computer.References
Después de tres días de competición, se repartieron en total $ 833.000 de dinero en dólares. El Chaitin Security Research Lab, el equipo que descubrió el día cero de Firefox, terminó tercero detrás del equipo de 360 Seguridad de Qihoo y el Equipo de Sniper de Tencent Security.
Team
Points | |
360 Security | 63 |
Tencent Security – Team Sniper (Keen Lab and PC Mgr) | 60 |
Chaitin Security Research Lab | 26 |
Tencent Security – Team Lance | 13 |
Tencent Security – Team Ether | 10 |
Samuel Groß and Niklas Baumstark | 9 |
Este año, los participantes hackearon Windows, Windows Server, MacOS, Ubuntu, Adobe Reader, Adobe Flash Player, Microsoft Edge, Safari, Firefox y VMWare.
Los investigadores logran "escape completo de la máquina virtual"
El exploit más creativo generó a los investigadores 105.000 dólares de una sola vez. Los investigadores de Qihoo 360 utilizaron un sitio web malicioso para desencadenar un desbordamiento de heap en Edge para escalar el acceso al sistema operativo Windows subyacente, donde utilizaron un error de confusión de tipo para obtener privilegios de kernel, que luego utilizaban para explotar un búfer no inicializado y escapar de VMWare Workstation (Máquina virtual), obteniendo control sobre el servidor / máquina subyacente.
Fuente:
https://www.bleepingcomputer.com/news/security/it-took-mozilla-22-hours-to-patch-a-firefox-vulnerability-discovered-at-pwn2own/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.