La prima giornata della ormai classica competizione hacking ospitata dalla conferenza CanSecWest si chiude con due browser al tappeto: Safari 5.0.3 e Internet Explorer 8 sono già caduti sotto i colpi dei ricercatori partecipanti. Come sempre, la proprietà intellettuale degli exploit scoperti al Pwn2Own viene acquisita dall’organizzatore del contest, TippingPoint, che si impegna a non divulgarne i dettagli prima che arrivi una patch ufficiale. Nel frattempo, però, è possibile approfondire l’argomento con le interviste ai vincitori.
Il team VUPEN , che ha bypassato le difese del browser Mac, dichiara di aver trovato una precisa vulnerabilità nel motore di rendering WebKit. La prova non è stata eseguita utilizzato il Safari più aggiornato possibile ( 5.0.4 , uscito nella notte) ma anche questa volta per superare le difese DEP/ASLR di Safari e arrivare ad avviare codice arbitrario sono bastati pochi secondi e una pagina web “speciale”.
Gli specialisti francesi, che si porteranno a casa un premio di 15 mila dollari e il MacBook Air su cui hanno “operato”, ammettono comunque di aver perso un paio settimane per prepararsi al match. A quanto pare è stato più il terreno di scontro, l’ambiente Mac a 64 bit, a dare filo da torcere all’exploit, per la mancanza di documentazione a riguardo.
A compromettere Internet Explorer 8 è stato invece Stephen Fewer del gruppo Harmony Security. L’esperto di sicurezza ha vinto un portatile Sony Vaio, oltre al regolare premio in denaro. In questo caso bisognava affrontare il browser in versione 32 Bit su Windows 7 (SP1) a 64 Bit. Per superare la sandbox e arrivare ad eseguire un programma via IE8, mister Fewer ha sfruttato tre distinte vulnerabilità, studiate per oltre un mese. Come noto , Microsoft non ha neppure provato a rilasciare una patch pre-contest.
L’invincibile browser Chrome , concorrente aggiunto in corsa, rimane imbattuto per un motivo molto semplice: gli hacker che dovevano sfidare i suoi corazzati sistemi di difesa non si sono ancora presentati. Domani comunque potrebbe anche toccare a Mozilla Firefox. Poi saliranno sul ring gli smartphone iPhone, Blackberry, Android e Windows Phone 7.
Roberto Pulito