Alfonso Maruccia

Pwn2Own, browser tutti-i-buchi

Mezzo milione di dollari di premi agli hacker che hanno fatto fuori Chrome, IE e tutti gli ammennicoli Java e Flash. Se la cava solo Chrome OS

Roma - Anche il Pwn2Own di quest'anno ha messo in luce la sostanziale parità dei browser più popolari in fatto di (in)sicurezza: usando tecniche sofisticate e mettendo assieme vari tipi di attacchi, gli hacker hanno "buttato giù" Chrome, IE 10, Firefox e gli altri, senza naturalmente dimenticare gli onnipresenti plugin Java e Flash.

In totale, l'edizione 2013 del "contest di hacking" organizzato nell'ambito della conferenza CanSecWest di Vancouver ha fruttato circa mezzo milione di dollari ai partecipanti: a sponsorizzare l'evento con i fondi necessari è stata Hewlett-Packard, la maggior produttrice al mondo di PC.

Uno degli attacchi di maggior pregio (che è valso il premio di 100mila dollari) è stato quello condotto dalla francese Vupen Security contro Internet Explorer 10 su tablet Surface Pro: gli esperti transalpini sono riusciti a bypassare la sandbox del browser e tutte le misure di sicurezza aggiuntive di Windows introdotte da Microsoft negli ultimi anni, impiegando due falle 0-day precedentemente sconosciute e ottenendo il pieno controllo del sistema.
Di non minore valore (altri 100.000 dollari) è stato giudicato l'attacco condotto contro Google Chrome 25 su Windows 7: anche in questo caso i ricercatori si sono serviti di falle 0-day per bypassare la sandbox, ottenendo il permesso di eseguire codice malevolo sul sistema locale (a partire da un sito con il codice dell'exploit) anche grazie a una vulnerabilità scovata all'interno del kernel di Windows.

Tutte le principali tecnologie di rete sono cadute vittima della "hackfesta" canadese, mentre Google può continuare a ritenersi soddisfatta della robustezza del suo OS tra le nuvole Chrome OS: il sistema web-centrico di Mountain View ha un contest tutto suo (Pwnium 3) e un premio in denaro di ben 3 milioni di dollari, ma anche stavolta nessuno è riuscito a conquistarlo bucando i meccanismi di sicurezza del browser-OS.

Alfonso Maruccia
Notizie collegate
  • SicurezzaPwnium 3, Google chiama hackerIndetta la terza edizione del contest di BigG per la sicurezza dei suoi prodotti software. Il nuovo obiettivo è Chrome OS, con un totale di oltre 3 milioni di dollari per chi riuscirà a violarlo
  • SicurezzaJava, certificati senza certificazioneUn altro problema affligge la piattaforma Java: questa volta più che di una vulnerabilità si tratta di una policy scarsamente attenta alla sicurezza nel controllo dei certificati digitali
25 Commenti alla Notizia Pwn2Own, browser tutti-i-buchi
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)