Roberto Pulito

Chrome e Firefox, ultime vittime del Pwn2Own

La caduta del browser Mozilla e la ricaduta del browser Google. Cala il sipario sull'edizione 2012, il concorso hacker che premia gli exploit a fin di bene

Roma - Finale a sorpresa per il contest Pnwium indetto da Google all'interno del Pwn2Own. Dopo l'exploit eseguito dallo studente universitario Sergey Glazunov, noto partecipante al progetto Chromium, un altro sfidante indipendente bypassa la sandbox del browser Chrome, segnalando ai tecnici 3 diverse vulnerabilità zero-day. Questa volta si tratta di un adolescente che si fa chiamare Pinkie Pie.

Il ragazzino dichiara di aver impiegato poco più di una settimana per mettere a punto l'attacco, sferrato proprio sul finire della gara hacker. "Pinkie Pie" incassa un premio da 60mila dollari e si prende una bella rivincita sul team Google, che fino a questo momento non aveva mai preso in considerazione il suo materiale.

La dimostrazione dell'accesso al sistema non si è conclusa con la classica calcolatrice avviata ma con l'apertura di una foto che ritrae il roseo personaggio del cartoon Mio Mini Pony. Il coder venuto dal nulla sottolinea di aver bucato con estrema facilità le difese del sandbox, ma il colosso di Moutain View non rivelerà dettagli sui bug impiegati nell'impresa fino a quando non sarà pronta una patch correttiva.
C'è ovviamente differenza tra gli hack che sfruttano le debolezze dell'installazione di default e quelli che passano da codice altrui, approfittando magari del plugin Flash. Una differenza che Google ha voluto mettere in evidenza per bene, con una ulteriore firma di protezione inclusa dalla versione 17.0.963.65 di Chrome, poco prima della gara.

Quest'anno il browser Mozilla è stato l'ultimo a cadere sotto i colpi degli hacker iscritti al contest. Willem Pinckaers e Vincenzo Iozzo hanno sfruttato una singola vulnerabilità zero-day scovata nel recente Firefox 10.0.2. I due ricercatori hanno vinto 30mila dollari arrivando ad aggirare le protezioni ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention) del sistema operativo Windows 7.

Roberto Pulito
Notizie collegate
52 Commenti alla Notizia Chrome e Firefox, ultime vittime del Pwn2Own
Ordina
  • Perfavore mi fate capire una cosa? IO sono pocopiù di un neofita qui,ma la sicurezza di un browser e data dalla sicurezza dell S.O che lo incorpora?Oppure la sicurezza di un browser dovrebbe esser garantita indipendentemente dal S.O nel quale viene installato?Poi mi sapete dire perchè su LINUX un browser dovrebbe esser a prova di bomba? Mentre con il resto degli S.O praticamente gli stessi browsers diventano formaggi svizzeri?

    Grazie.
  • - Scritto da: darksenderl
    > Perfavore mi fate capire una cosa? IO sono
    > pocopiù di un neofita qui,ma la sicurezza di un
    > browser e data dalla sicurezza dell S.O che lo
    > incorpora?Oppure la sicurezza di un browser
    > dovrebbe esser garantita indipendentemente dal
    > S.O nel quale viene installato?Poi mi sapete dire
    > perchè su LINUX un browser dovrebbe esser a prova
    > di bomba? Mentre con il resto degli S.O
    > praticamente gli stessi browsers diventano
    > formaggi svizzeri?

    Dipende anche dall'OS. Ma Linux non ha alcun vantaggio teorico su Win7 e OS X, anzi. Credo che sia inferiore a riguardo. Il fatto è che di solito la teoria conta fino ad un certo punto, quello che conta è la qualità dell'implementazione. In quel caso Linux POTREBBE essere migliore di altri OS. Ma qualcuno dovrebbe provare a dimostrarlo.
  • La sicurezza di un browser dovrebbe essere garantita indipendentemente dal SO su cui é installato.

    Per sfruttare la falla peró devi sapere cosa vuoi far fare al sistema operativo su cui gira Occhiolino

    Riguardo al SO piú sicuro, una volta avrei detto "dipende".

    Pensa a Win98: se si "sbagliava qualcosa", si piantava tutto il PC = si perdeva l'accesso da remoto. Su "linux" invece si piantava solo il processo... la macchina "cadeva" in piedi ;-D

    Ma oggi si comportano tutti i SO in questo modo, quindi la risposta é... nessuno! I maggiori problemi (anche di linux) non sono noti alla stampa di massa perché riguardano sistemi critici (banche date techniche, bancarie, sistemi di controllo dell'energia...), e si sa che é meglio tenere i "non addetti ai lavori" all'oscuro, anche per evitare ondate di panico.
    Per capirci, un DDOS fa notizia e subito si pensa a computer "Zombie" basati su Windows. Ma in realtá é il server a cadere, e molto spesso i server sono "*nix" based. Quindi é la catena ad essere debole, e di anelli che la formano ce ne sono tanti... ma proprio tanti!

    Inoltre un DDOS puó mascherare un altro attacco avvenuto prima sulla stessa "rete" (un server non é da pensare come una singola macchina) ovvero "distrarre" da un altro attacco in contemporanea mirato ad altri sistemi mentre "quelli che fanno notizia" cadono attirando l'attenzione.

    Sono solo alcuni spunti di riflessione.
    non+autenticato
  • i DDOS non sono assimilabili agli exploit creati al pwn2own

    un DDOS lo può fare chiunque, basta avere la potenza bruta per schiacciare il server sotto cumuli di gigabytes

    il perchè si parla di windows nei casi di DDOS, è dovuto al fatto che al 99% gli attaccanti sono bot windows

    ma questo non ha nulla a che vedere con la robustezza di un kernel

    inoltre faccio notare che linux è opensource e ci sono ricercatori che di mestiere fanno i bug hunter proprio su software opensource

    inoltre trovare vulnerabilità avendo i sorgenti è più facile che non avendoli e infatti sui siti specializzati ci sono molte segnalazioni di bug per il kernel linux

    quindi i bug ci sono pure in linux, sono molti come ci aspetterebbe, ma vengono patchati molto rapidamente

    su windows abbiamo molti bug, molto più seri e tempi di patching non proprio veloci
    non+autenticato
  • perchè linux sarebbe inferiore? linux ha tutto quello che hanno windows e macos ( ti ricorda che l'aslr in quest'ultimo è comparso solo recentemente ) ed in più altre protezioni ( tipo la word sentinella per gli stack overflow o le capabilities )

    linux è ad oggi uno dei sistemi più robusti sul fronte sicurezza e lo dimostra il bassissimo numero di vulnerabilità del kernel sfruttabili da remoto
    non+autenticato
  • - Scritto da: collione
    > perchè linux sarebbe inferiore? linux ha tutto
    > quello che hanno windows e macos ( ti ricorda che
    > l'aslr in quest'ultimo è comparso solo
    > recentemente ) ed in più altre protezioni ( tipo
    > la word sentinella per gli stack overflow o le
    > capabilities

    Ok, non ero a conoscenza degli ultimi sviluppi di Linux (che non seguo molto).
    Quindi in teoria sarebbero un po' tutti sullo stesso piano oggi, da quel punto di vista.
  • veramente non sono ultimi sviluppi, ma roba di qualche mezzo decennio faA bocca aperta

    le capabilities ci sono da 12 anni

    ed è stato tra i primi os ad introdurre l'aslr e il dep
    non+autenticato
  • - Scritto da: darksenderl
    > Perfavore mi fate capire una cosa? IO sono
    > pocopiù di un neofita qui,ma la sicurezza di un
    > browser e data dalla sicurezza dell S.O che lo
    > incorpora?Oppure la sicurezza di un browser
    > dovrebbe esser garantita indipendentemente dal
    > S.O nel quale viene installato?Poi mi sapete dire
    > perchè su LINUX un browser dovrebbe esser a prova
    > di bomba? Mentre con il resto degli S.O
    > praticamente gli stessi browsers diventano
    > formaggi
    > svizzeri?
    >
    > Grazie.

    Se parli di browser multipiattaforma teoricamente un buco da cui si può entrare su windows è lo stesso da cui puoi entrare su linux il fatto è che se un virus è studiato per infettare una macchina windows sotto linux al massimo occupa un po' di spazio sul disco fisso senza mai avviarsi per ovvie ragioni.
    mura
    1717
  • E chi parla di Virus?
    non+autenticato
  • - Scritto da: Non Me
    > E chi parla di Virus?

    Si parla di sicurezza di browser per cui è intrinseco parlare di codice malevolo (virus, trojan, malware ecc ecc) che viene installato ed eseguito da remoto sulla macchina vulnerabile.
    mura
    1717
  • basta un esempio semplice, il dep ( meglio noto come bit nx )

    se lo implementi rendi difficilissimo sfruttabre gli stack overflow, se non ce l'hai lo rendi invece facilissimo

    alla fin fine il singolo software non vive isolato, ma in un contesto fatto di librerie, api di vario tipo e ovviamente il sistema operativo

    quando apri un file con firefox stai usando una routine del sistema operativo

    potresti ad esempio sfruttare firefox per creare un overflow all'intero della routine dell'os che gestisce l'apertura dei file
    non+autenticato
  • Questa volta si tratta di un adolescente che si fa chiamare Pinkie Pie .

    (cut)

    La dimostrazione dell'accesso al sistema non si è conclusa con la classica calcolatrice avviata ma con l'apertura di una foto che ritrae il roseo personaggio del cartoon Mio Mini Pony .

    non solo si è fatta fregare da un hacker adolescente... ma pure fro**o


    P.S.
    perdonatemi... non sono omofobo ma non ho resistito Sorride
  • Non hai pensato che magari è una ragazza? Visto anche il soprannome...
    non+autenticato
  • - Scritto da: Qualcuno
    > Non hai pensato che magari è una ragazza? Visto
    > anche il
    > soprannome...

    Se fosse femmina avvrebbero scritto "un'adolescente" invece che "un adolescente".
    A meno che non si tratti di uno strafalcione grammaticale, allora è maschio.
  • sì... soprattutto non avrebbero scritto "il ragazzino"... Sorride
    non+autenticato
  • - Scritto da: il solito bene informato
    > non solo si è fatta fregare da un hacker
    > adolescente... ma pure
    > fro**o

    Si dice brony (http://encyclopediadramatica.ch/index.php?title=Br...)

    >
    > P.S.
    > perdonatemi... non sono omofobo ma non ho
    > resistito
    >Sorride
    non+autenticato
  • Hanno messo alla prova pure Opera?
    Come ne è uscito?
    Esiste un sito ufficiale di questo evento con tutti i dettagli?
  • Forse i MacBook Air sono diventati un po' troppo popolari... o semplicemente i DOLLARONI di Google e affini attirano di più!Occhiolino
    non+autenticato
  • Per usare un francesismo ... Safari non se lo ca** nessuno!
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Per usare un francesismo ... Safari non se lo
    > ca** nessuno!

    Ma come?? Era sempre il primo a venire ca** gli scorsi anni!
    E ora ha anche (un po') aumentato i suoi user...

    Dici che non era per MacBook Air?Occhiolino
    non+autenticato
  • - Scritto da: Non Me
    > Usate google:
    > http://pwn2own.zerodayinitiative.com/status.html

    Ok, è stato attaccato anche lui, ma niente 0Day exploit. Insomma ha resistito meglio degli altri stavolta.
  • Tu da quel link capisci quello vero?
  • No, da quel link non si capisce, perˇ "sembra" abbia ragione:

    http://www.zdnet.de/news/41560765/pwn2own-2012-sic...

    [...] Nach Angaben der Veranstalters des Wettbewerbs, Tipping Point, wurden keine Zero-Day-Exploits fŘr Apples Safari demonstriert. [...]

    Che suona in italiano + o meno cosÝ: "Da Informazioni da parte di Tipping Point, organizzatrice della competizione, non sono stati presentati Zero-Day-Exploits per l'Apple Safari".-

    Ora, da questo la conclusione

    - Apple Safari é sicuro
    ovvero
    - Apple Safari non se lo c**a nessuno

    ha, in base alle informazioni di cui sopra, lo stesso identico valore: ZERO!

    Mentre, 90.000 (60k + 30k) dollari é un valore ben chiaro!
    E diciamolo, possono indirizzare gli interessi.

    Detto questo, i premi che vengono offerti portano i "bravi" hacker amettersi in luce: dubito perˇ che quelli "veri" partecipino a questi eventi... se non per eventualmente "arruolare" i bravi (anche ad insaputa degli stessi).
    non+autenticato
  • - Scritto da: Non Me
    > No, da quel link non si capisce, peró "sembra"
    > abbia
    > ragione:
    >
    > http://www.zdnet.de/news/41560765/pwn2own-2012-sic
    >
    > [...] Nach Angaben der Veranstalters des
    > Wettbewerbs, Tipping Point, wurden keine
    > Zero-Day-Exploits für Apples Safari demonstriert.
    > [...]
    >
    > Che suona in italiano + o meno cosí: "Da
    > Informazioni da parte di Tipping Point,
    > organizzatrice della competizione, non sono stati
    > presentati Zero-Day-Exploits per l'Apple
    > Safari".-
    >
    > Ora, da questo la conclusione
    >
    > - Apple Safari é sicuro
    > ovvero
    > - Apple Safari non se lo c**a nessuno
    >
    > ha, in base alle informazioni di cui sopra, lo
    > stesso identico valore:
    > ZERO!
    >
    > Mentre, 90.000 (60k + 30k) dollari é un valore
    > ben
    > chiaro!
    > E diciamolo, possono indirizzare gli interessi.
    >
    > Detto questo, i premi che vengono offerti portano
    > i "bravi" hacker amettersi in luce: dubito peró
    > che quelli "veri" partecipino a questi eventi...
    > se non per eventualmente "arruolare" i bravi
    > (anche ad insaputa degli
    > stessi).

    Non vanno a queste competizioni per vincere un premio (qualcuno ipotizzava che bucassero safari per vincere mba) ma per farsi conoscere nel mondo della sicurezza informatica.
    non+autenticato
  • - Scritto da: MacGeek
    > - Scritto da: Non Me
    > > Usate google:
    > >
    > http://pwn2own.zerodayinitiative.com/status.html
    >
    > Ok, è stato attaccato anche lui, ma niente 0Day
    > exploit. Insomma ha resistito meglio degli altri
    > stavolta.

    Per bucarlo non servivano 0day, solo falle note, resistito meglio degli altri è molto opinabile visto che nessun team ha dovuto usare i trucchi migliori.
    non+autenticato
  • - Scritto da: MacGeek
    > Forse i MacBook Air sono diventati un po' troppo
    > popolari... o semplicemente i DOLLARONI di Google
    > e affini attirano di più!
    >Occhiolino

    Reazione degli organizzatori del contest:

    "(mano sulla fronte) ODDIO... SAFARI!"
  • ma le prove contro Crome e Firefox le hanno fatte solo su Colabrodo 7 o anche su altri sistemi operativi?
    non+autenticato
  • - Scritto da: iome
    > ma le prove contro Crome e Firefox le hanno fatte
    > solo su Colabrodo 7 o anche su altri sistemi
    > operativi?

    Hanno fatto prove su tutto.
    Ma solo il colabrodo e' stato bucato.
  • - Scritto da: panda rossa
    > - Scritto da: iome
    > > ma le prove contro Crome e Firefox le hanno
    > fatte
    > > solo su Colabrodo 7 o anche su altri sistemi
    > > operativi?
    >
    > Hanno fatto prove su tutto.
    > Ma solo il colabrodo e' stato bucato.
    The targets will be running on the latest, fully patched version of either Windows 7 or Lion. A me pare che non abbiano utilizzato S.O. linux based
    non+autenticato
  • il motivo è la complessità nel produrre exploit funzionanti su linux

    a ciò aggiungiamo che ogni distribuzione aggiunge questo e quello, per cui un exploit che funziona su ubuntu non funziona su fedora, ecc....

    è lo stesso motivo per cui linux esce quasi sempre indenne dal pwn2own
    non+autenticato
  • - Scritto da: collione
    > il motivo è la complessità nel produrre exploit
    > funzionanti su
    > linux
    >
    > a ciò aggiungiamo che ogni distribuzione aggiunge
    > questo e quello, per cui un exploit che funziona
    > su ubuntu non funziona su fedora,
    > ecc....
    >
    > è lo stesso motivo per cui linux esce quasi
    > sempre indenne dal
    > pwn2own

    Però la frammentazione è un male, giusto?Con la lingua fuori
    Funz
    12987
  • - Scritto da: Funz
    > - Scritto da: collione
    > > il motivo è la complessità nel produrre
    > exploit
    > > funzionanti su
    > > linux
    > >
    > > a ciò aggiungiamo che ogni distribuzione
    > aggiunge
    > > questo e quello, per cui un exploit che
    > funziona
    > > su ubuntu non funziona su fedora,
    > > ecc....
    > >
    > > è lo stesso motivo per cui linux esce quasi
    > > sempre indenne dal
    > > pwn2own
    >
    > Però la frammentazione è un male, giusto?Con la lingua fuori

    Tranne quand'è utile.OcchiolinoCon la lingua fuori
    883
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)