A Pwn2Own 2017, nova edição da competição anual de segurança, chegou ao fim e os resultados não são muito bons para o Microsoft Edge.

Microsoft Edge na competição Pwn2Own 2017

Depois de três dias de competição, o Microsoft Edge saiu como o navegador mais hackeado do evento. No primeiro dia da competição, a equipe Team Ether da Tencent Security foi a primeira a hackear o novo navegador da Microsoft explorando uma vulnerabilidade no Chakra, o mecanismo JavaScript utilizado pelo Microsoft Edge. A equipe também explorou um bug na sandbox do navegador para escapar dela. Eles receberam um prêmio de US$ 80.000.

No segundo dia da competição Pwn2Own 2017, o Microsoft foi um dos principais alvos de várias equipes. Uma delas foi desclassificada por usar uma vulnerabilidade já divulgada publicamente, o que é proibido pelas regras. Por causa disso, duas outras equipes também desistiram de atacar o navegador da Microsoft.

Apesar disso, uma outra equipe da Tencent Security (Team Lance) explorou com sucesso uma nova vulnerabilidade no Chakra e um bug no kernel do Windows para obter privilégios mais altos no sistema operacional. A equipe recebeu um prêmio de US$ 55.000.

A equipe Team Sniper, que também é da Tencent Security, também explorou o Microsoft Edge e o kernel do Windows usando técnicas similares e por isso ela recebeu um prêmio com o mesmo valor.

O exploit mais impressionante, e também algo inédito na competição, foi utilizado no Microsoft Edge em uma máquina virtual para escapar dela. O feito foi conseguido por uma equipe de segurança da 360 Security. Para escapar da máquina virtual eles utilizaram uma vulnerabilidade do tipo heap overflow no Microsoft Edge, uma no kernel do Windows e uma no VMware Workstation. A equipe recebeu um prêmio de US$ 105.000.

O quinto ataque contra o Microsoft Edge foi de Richard Zhu, que explorou uma vulnerabilidade no navegador e uma no kernel do Windows. Ele recebeu um prêmio de US$ 55.000.

Microsoft Edge foi o navegador mais hackeado na competição Pwn2Own 2017

Outros navegadores

Safari
O primeiro ataque contra o navegador da Apple explorou três bugs para elevar privilégios no macOS. O prêmio neste caso foi de US$ 28.000 porque a vulnerabilidade já havia sido corrigida em uma versão Beta do navegador.

Outra equipe de pesquisadores do Chaitin Security Research Lab usou seis diferentes bugs para atacar com sucesso o navegador da Apple e ganhar acesso “root” ao macOS. A equipe recebeu um prêmio de US$ 35.00 por seus esforços.

As equipes Team Sniper e 360 Security também conseguiram hackear o Safari com sucesso no segundo dia da competição e receberam um prêmio de US$ 35.000.

Firefox
O Firefox não foi um dos alvos na edição de 2016 da competição por ter sido considerado como “fácil demais de ser hackeado”. As coisas mudaram um pouco desde então e duas tentativas de ataque foram feitas na edição de 2017 da competição de segurança.

Apenas uma dela teve sucesso ao explorar uma vulnerabilidade no próprio navegador e uma no kernel do Windows para obter privilégios mais altos no sistema operacional da Microsoft.

Google Chrome
A única tentativa de ataque ao Google Chrome foi da equipe Team Sniper da Tencent Security. A equipe não conseguiu concluir o ataque no tempo limite.

Confira mais detalhes sobre os três dias da competição de segurança Pwn2Own 2017 aqui.

  • Cortana

    O Google realmente merece congratulações. De todos os software atacados na competição, o Chrome foi o único que não caiu.
    Windows, Linux, MaOS, Edge, Firefox, Safari e outros todos caíram.

  • Cell

    Se a vida está ruim pro Edge imagina pro Firefox kkkkkkk
    Já vou desinstalar aqui !!

    • Celso

      Mas esse ano o Firefox foi bem, foi invadido somente uma vez, ele ficou atrás somente do Chrome que saiu ileso e foi considerado o mais robusto e seguro do evento, somente o grupo Team Sniper tentou invadí-lo sem sucesso.

      Parece que em apenas um ano a Mozilla conseguiu “blindar” o seu browser com diversas correções de segurança, o que se traduziu na conferência em apenas uma invasão bem sucedida.

      “O Firefox não foi um dos alvos na edição de 2016 da competição por ter sido considerado como “fácil demais de ser hackeado”. As coisas mudaram um pouco desde então e duas tentativas de ataque foram feitas na edição de 2017 da competição de segurança. Apenas uma dela teve sucesso ao explorar uma vulnerabilidade no próprio navegador e uma no kernel do Windows para obter privilégios mais altos no sistema operacional da Microsoft.

      O Edge que foi disparado o pior de todos e recebeu o título de navegador menos seguro do mercado..

  • Celso

    O pessoal gosta de detonar o Chrome principalmente devido as constantes atualizações para corrigir vulnerabilidades, mas ai está o resultado de tantos esforços, aperfeiçoamentos, melhorias.. Ninguém pode negar que o Google Chrome, pelo menos atualmente é o navegador mais seguro que existe… E o único que saiu ileso dessa competição..

    • Linuxer Educado

      Não digo que é o mais seguro, pois, há muitos outros que não foram testados.

      Quem critica o Chrome por causa disso certamente não entende de informática, mas, de qualquer forma, há problemas maiores no Chrome, estes sim são o que o deixam em posição desfavorável.

    • Felipe

      A Google leva a sério e tenta disponibilizar as correções o mais rápido possível. É um exemplo que a Microsoft deveria seguir, e parar de vincular as atualizações do Edge com as do Windows 10. Ambos precisam ser tratados de forma independente, ou ela continuará com o navegador mais vulnerável a ataques.

      Não adianta mudar o nome e repetir os mesmos erros cometidos no IE.

  • Wikileaks

    O problema não é só do navegador… necessita de falhas dos SO’s, certo?!! Todas as falhas nos navegadores necessitam do sistema operacional, certo??

    • Cortana

      São duas coisas diferentes, exemplo:
      1 – Existe a falha do navegador que permite ao invasor abrir o notepad, e só.
      2 – Após atravessar o browser, se, existir uma falha no kernel do SO, é possível uma escalada de privilégios.

  • Mário Avelino

    Bom! Agora resta a Redmond reescrever, corrigir e testar novamente, até lá o Edge fica na enfermaria.

  • JÃO

    Mais um navegador da Microsoft que só serve pra baixar um navegador decente.

    • Paulo Andador

      Pior que é isso mesmo! Só usei o Edge uma única vez, quando instalei o W10 e usei ele para baixar o Chrome.

  • Isso que eu gosto do Baboo. Ele é imparcial. Mesmo quando sai uma notícia desfavorável à MS ele não fica defendendo de qualquer jeito como fazem os fanboys do Linux.

    Mas aquela janelinha dizendo que “O Edge é mais seguro que o Chrome/Firefox” quando abre o browser não é bem assim né? hehehehehe

    • Nenhum navegador é 100% seguro, mas o Edge foi massacrado impiedosamente nesse Pwn2Own ;)

      • Cell

        Mas e o Firefox ?? kkk

    • Linuxer Educado

      Com licença, mas se você ler ou ouvir profissionais realmente sérios de Linux, não os encontrará sendo tendenciosos, e os verá fazendo análises coerentes sobre as diferenças de um sistema para outro. Talvez você pense que certas coisas ditas por eles são um exagero, mas são verdadeiras, por mais que você não creia. Além do mais, é desfavorável comparar o Baboo, que é um profissional sério de Windows, com fanboy de Linux, que só acha como o sistema funciona. Deveria comparar com um profissional sério de Linux, aí assim haveria uma análise equilibrada.

      Por favor, procure conhecer mais sobre o sistema e quem fala seriamente sobre ele antes de desfavorecer quem mexe com ele.

  • A. Faybert

    E tem gente que reclama que o Chrome não é seguro por estar sempre atualizando para corrigir falhas de segurança, o resultado está ai, é um navegador super seguro. Destaque também para essa equipe da 360 Security, sempre se destacam nessas competições, os caras são bons.

    • bot

      existem uns determinado virus que faz um reset no google chrome instalado na maquina do usuario afetando assim o publico