Hackers invadem iPhone, Safari, Internet Explorer 8 e Firefox no primeiro dia da Pwn2Own 2010

Os hackeres prometeram e cumpriram... no primeiro dia da Pwn2Own 2010, realizada durante a conferência CanSecWest (em Vancouver, no Canadá), os perdedores foram iPhone, Safari, Internet Explorer 8 e Firefox. O Google Chrome nem sequer foi tocado.

Três hackeres diferentes levaram US$10.000 cada, por invadir os 3 navegadores, mesmo sem ter acesso físico às máquinas nas quais eles estavam rodando. Normalmente, essas invasões são realizadas a partir da obtenção de acesso via sites comprometidos/infectados, explorando brechas de segurança nos browseres da Apple, da Microsoft e da Mozilla.

No caso do iPhone, o show foi mais bonito: a dupla de especialistas Vincenzo Iozzo e Ralf Philipp Weinmann criou um site que, quando visitado pelo smartphone da Apple, automaticamente puxa o seu banco de dados de mensagens SMS (sem sequer travar o Mobile Safari, e tudo em cerca de 20 segundos!). Segundo os hackeres, a mesma técnica pode ser usada para extrair contatos, emails, galeria de fotos e arquivos de mídia do iTunes. Juntos, eles ganharam um prêmio de US$15.000.

Raramente as brechas encontradas e exploradas nesses eventos são divulgadas publicamente. A prática normal é que os hackeres informem as desenvolvedoras responsáveis pelas falhas, normalmente obtendo mais compensações financeiras pelas suas descobertas de segurança. No final saimos todos ganhando - então não há motivos pra se preocupar.

Neste ano, os hackeres brigaram por prêmios de até US$100.000 na Pwn2Own.

Apple libera Security Update 2010-002 para usuários do Mac OS X Leopard

Além do Mac OS X 10.6.3, a Apple também liberou hoje o Security Update 2010-002, destinado a usuários do Mac OS X Leopard. O update contém todas as correções de segurança oferecidas hoje na terceira grande atualização geral do Snow Leopard.

No total, foram 69 correções para falhas e problemas de segurança, capazes de resultar em corrupção de memória, execução arbitrária de código, encerramento repentino de aplicativos ou até ataques de negação de serviço, bem como outras vulnerabilidades múltiplas e específicas. Em sua maioria, esses patches foram aplicados nos principais recursos do Mac OS X baseados em projetos de código aberto, mas também há diversas falhas em tecnologias da Apple, incluindo QuickTime, Mail, ImageIO e Core Audio.

Para mais informações sobre o Security Update 2010-002 para Leopard e todas as correções de segurança aplicadas ao Mac OS X 10.6.3, confira este artigo detalhado na base de conhecimento da Apple. Os usuários da versão anterior do sistema podem obtê-las através da Atualização de Software (Software Update) ou através do site da empresa, nas edições Client (78,4MB) e Server (361,4MB).