Por lo tanto Google va a entregar los premios de $ 60.000, $ 40.000 y $ 20.000 para las concursantes capaces de comandar remotamente un navegador totalmente parcheado que se ejecuta en Windows 7. Encontrar un “Exploit Chrome completo,” la persistencia de la obtención de cuenta de usuario utilizando sólo los errores en el propio navegador neto del premio de $ 60k. Usando webkits, flash, o un exploit basado en controladores sólo puede ganar las cantidades menores.

Los premios se otorgarán sobre una base de primer llegado, primer servicio, hasta que la totalidad de los $ 1.000.000 se ha dicho. “Si bien estamos orgullosos de trayectoria principal de Chrome en las competiciones anteriores, el hecho es que no reciben hazañas significa que es más difícil de aprender y mejorar”, dijo Chris Evans y Justin Schuh, los miembros del equipo de seguridad de Google Chrome.

“Para maximizar las posibilidades de recepción de las hazañas de este año, hemos subido la apuesta. Estamos directamente patrocinará hasta $ 1 millón de dólares de recompensa. “Pwn2Own no es la única vez que los investigadores pueden pagar por la excavación de las fallas de seguridad en Chrome. Al igual que otras empresas como Mozilla y Facebook, Google ofrece “recompensas” a los investigadores de errores, y su programa de compra de fallo ha dado más de $ 300,000 en pagos durante los últimos dos años.

Koret inicialmente informó de la vulnerabilidad a Oracle en 2008, hace cuatro años! y dijo que se sorprendió al ver que se había fijado en el más reciente de Oracle Critical Patch Update sin ningún tipo de reconocimiento a su labor.

“Esta vulnerabilidad es explotable de forma remota sin autenticación, y si aprovecha con éxito, puede resultar en un compromiso total de la base de datos específica”, advirtió la empresa.

“Esta alerta de seguridad corrige el problema de seguridad CVE-2012-1675, una vulnerabilidad en el oyente TNS que ha sido recientemente descrito como ‘TNS Listener ataque del veneno” que afecta al servidor de base de datos Oracle. Esta vulnerabilidad puede ser explotada remotamente sin autenticación, es decir, que pueden ser explotados en una red sin la necesidad de un nombre de usuario y contraseña. Un usuario remoto puede explotar esta vulnerabilidad para afectar a la confidencialidad, integridad y disponibilidad de los sistemas que no han recomendado solución aplicada “, escribió Oracle.

Una característica TNS Listener conocido como registro remoto se remonta a por lo menos 1999, con la versión 8i de la base de datos Oracle. Mediante el envío de una simple consulta al servicio, un atacante puede secuestrar las conexiones de los usuarios legítimos ya han establecido con la base de datos sin la necesidad de una contraseña o autenticación. A partir de entonces, los datos que viajan entre los usuarios legítimos y el paso de servidor a través de la conexión creada por el atacante.

Oracle lanzó una actualización crítica para los productos de base de datos de versiones 10g y 11g de fijación de esta vulnerabilidad.