Pwn2Own 2011, primo round: caduti Safari e IE8
Topic
Approfondimenti
Trending
tutti

Pwn2Own 2011, primo round: caduti Safari e IE8

Vecchi e nuovi browser finiscono al tappeto il primo giorno della gara. Chrome vince a tavolino per mancanza di sfidanti. Si attende anche qualcuno che sfidi Firefox
Sicurezza Antivirus
Vecchi e nuovi browser finiscono al tappeto il primo giorno della gara. Chrome vince a tavolino per mancanza di sfidanti. Si attende anche qualcuno che sfidi Firefox

La prima giornata della ormai classica competizione hacking ospitata dalla conferenza CanSecWest si chiude con due browser al tappeto: Safari 5.0.3 e Internet Explorer 8 sono già caduti sotto i colpi dei ricercatori partecipanti. Come sempre, la proprietà intellettuale degli exploit scoperti al Pwn2Own viene acquisita dall’organizzatore del contest, TippingPoint, che si impegna a non divulgarne i dettagli prima che arrivi una patch ufficiale. Nel frattempo, però, è possibile approfondire l’argomento con le interviste ai vincitori.

Il team VUPEN , che ha bypassato le difese del browser Mac, dichiara di aver trovato una precisa vulnerabilità nel motore di rendering WebKit. La prova non è stata eseguita utilizzato il Safari più aggiornato possibile ( 5.0.4 , uscito nella notte) ma anche questa volta per superare le difese DEP/ASLR di Safari e arrivare ad avviare codice arbitrario sono bastati pochi secondi e una pagina web “speciale”.

Gli specialisti francesi, che si porteranno a casa un premio di 15 mila dollari e il MacBook Air su cui hanno “operato”, ammettono comunque di aver perso un paio settimane per prepararsi al match. A quanto pare è stato più il terreno di scontro, l’ambiente Mac a 64 bit, a dare filo da torcere all’exploit, per la mancanza di documentazione a riguardo.

A compromettere Internet Explorer 8 è stato invece Stephen Fewer del gruppo Harmony Security. L’esperto di sicurezza ha vinto un portatile Sony Vaio, oltre al regolare premio in denaro. In questo caso bisognava affrontare il browser in versione 32 Bit su Windows 7 (SP1) a 64 Bit. Per superare la sandbox e arrivare ad eseguire un programma via IE8, mister Fewer ha sfruttato tre distinte vulnerabilità, studiate per oltre un mese. Come noto , Microsoft non ha neppure provato a rilasciare una patch pre-contest.

L’invincibile browser Chrome , concorrente aggiunto in corsa, rimane imbattuto per un motivo molto semplice: gli hacker che dovevano sfidare i suoi corazzati sistemi di difesa non si sono ancora presentati. Domani comunque potrebbe anche toccare a Mozilla Firefox. Poi saliranno sul ring gli smartphone iPhone, Blackberry, Android e Windows Phone 7.

Roberto Pulito

Pubblicato il 10 mar 2011

Link copiato negli appunti

Ti potrebbe interessare

Un Chrome da battaglia

Un Chrome da battaglia
Pwn2Own, cadono quasi tutti

Pwn2Own, cadono quasi tutti
Browser con l'ansia da Pwn2Own

Browser con l'ansia da Pwn2Own
Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Un Chrome da battaglia

Un Chrome da battaglia
Pwn2Own, cadono quasi tutti

Pwn2Own, cadono quasi tutti
Browser con l'ansia da Pwn2Own

Browser con l'ansia da Pwn2Own
Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Roberto Pulito
Pubblicato il
10 mar 2011
Link copiato negli appunti