Alfonso Maruccia

Pwn2Own, tutti i browser sono vulnerabili

Il tradizionale contest per ricercatori ed esperti di sicurezza si conclude con l'ecatombe dei browser Web pių popolari, tutti bucati da hacker che sanno il fatto loro. E che in poco tempo si portano a casa un mucchio di soldi

Roma - Com'è oramai tradizione annuale alla conferenza sulla sicurezza CanSecWest di Vancouver, hacker ed esperti del codice sono stati chiamati a sfidarsi nel contest Pwn2Own con l'obiettivo dichiarato di bypassare i meccanismi di sicurezza dei browser Web più popolari. L'obiettivo, tutto considerato, è stato raggiunto in pieno.

L'ottava edizione del Pwn2Own non ha lasciato nessun browser intatto, e i partecipanti sono riusciti a dimostrare, nella mezz'ora a loro disposizione - e ovviamente grazie alle ricerche estete condotte nelle settimane e nei mesi precedenti al contest - che la sicurezza assoluta è un concetto di pura fantasia.

Gli hacker hanno dimostrato il funzionamento dei loro exploit - rigorosamente basati su codice Web - sui sistemi operativi più popolari e aggiornati all'ultima patch ufficiale disponibile, facendo buon uso di 4 bug su Internet Explorer (Windows 8.1), 3 su Mozilla Firefox (Windows 8.1), 2 su Apple Safari (OS X Yosemite) e 1 su Google Chrome (Windows 8.1).
Durante il contest Pwn2Own è stata dimostrata anche l'esistenza di bug di sicurezza in software estremamente popolari come Adobe Reader, Flash Player e lo stesso Microsoft Windows, mentre per quanto riguarda le "personalità" che si sono distinte nella caccia al bug è obbligatorio citare Jung Hoon Lee.

Anche noto come lokihardt, Hoon Lee è riuscito a raccogliere una taglia di ben 110mila dollari sfruttando un bug di Chrome (75mila dollari), dimostrando un aumento di privilegi di accesso su Windows (25mila dollari) e "bucando" anche la versione beta di Chrome con lo stesso bug di quella stabile (10mila dollari). Le informazioni su tutti i bachi sono state per il momento condivise solo con le società interessate, e diverranno di pubblico dominio solo dopo la distribuzione di versioni aggiornate dei software fallati.

Alfonso Maruccia
Notizie collegate
  • SicurezzaPwn2Own, terminali mobile compromessiLa celebre "hackfest" reclama vittime eccellenti tra bachi nel browser di sistema, comunicazioni NFC vulnerabili e sandbox bucabili come se piovesse. Nessuno č invulnerabile, e i ricercatori rastrellano ricchi premi in denaro sonante
5 Commenti alla Notizia Pwn2Own, tutti i browser sono vulnerabili
Ordina