Pwn2Own 2013, cadono IE10, Chrome e Firefox

I ricercatori di sicurezza presenti alla competizione hanno bucato IE10, Firefox 19 e Chrome 25. Per adesso nessuno è riuscito ad attaccare Safari.
Pwn2Own 2013, cadono IE10, Chrome e Firefox
I ricercatori di sicurezza presenti alla competizione hanno bucato IE10, Firefox 19 e Chrome 25. Per adesso nessuno è riuscito ad attaccare Safari.
Luca Colantuoni
Pubblicato il 7 mar 2013

Al Pwn2Own 2013, l’annuale competizione tra ricercatori di sicurezza in corso a Vancouver, sono stati bucati i tre browser più diffusi sul mercato. Nell’ordine sono caduti uno dopo l’altro Internet Explorer, Firefox e Chrome. In meno di 30 minuti, i partecipanti sono riusciti a superare le varie difese di sicurezza dei software, eseguendo codice arbitrario sui dispositivi target, ovvero notebook e tablet con Windows 7 e Windows 8. I team hanno realizzato gli exploit, sfruttando vulnerabilità non ancora risolte. La vincita totale ammonta a 260.000 dollari.

La prima giornata del Pwn2Own 2013 prevedeva l’attacco a Chrome su Windows 7 (premio da 100.000 dollari), Internet Explorer 10 su Windows 8 (100.000 dollari), Internet Explorer 9 su Windows 7 (75.000 dollari), Firefox su Windows 7 (60.000 dollari) e Safari su OS X Mountain Lion (65.000 dollari). Il team di VUPEN Security è riuscito a bucare l’ultima versione del browser Microsoft integrato in Windows 8 sul tablet Surface Pro, sfruttando due vulnerabilità zero-day che hanno permesso di superare le difese della sandbox del sistema operativo. I ricercatori di sicurezza francesi hanno bucato anche Firefox 19 su Windows 7, vincendo quindi in totale 160.000 dollari.

Il team MWR Labs ha invece vinto 100.000 dollari con exploit che ha permesso di superare le difese di Windows 7, sfruttando diverse vulnerabilità zero-day di Chrome 25 e dello stesso sistema operativo. Visitando un sito web creato ad hoc, è stato possibile eseguire codice arbitrario nel contesto del processo di renderer “sandboxato” di Chrome. Sfruttando una vulnerabilità del kernel, il team ha bypassato i meccanismi di protezione della memoria Address Space Layout Randomisation (ASLR) e Data Execution Prevention (DEP).

All’inizio della giornata, due ricercatori indipendenti hanno bucato il plugin Java 7, vincendo 20.000 dollari, il premio più basso tra quelli messi in palio. Per adesso nessuno ha superato le difese di Safari su OS X Mountain Lion. Questa sera toccherà ai plugin Reader e Flash di Adobe.

Ti consigliamo anche

ChatGPT ti fa fare di tutto (ma proprio tutto): così puoi annullare una multa
Web e Social

ChatGPT ti fa fare di tutto (ma proprio tutto): così puoi annullare una multa
Nuovo aggiornamento di WhatsApp: è arrivata la funzionalità più richiesta
Web e Social

Nuovo aggiornamento di WhatsApp: è arrivata la funzionalità più richiesta
Digitale Terrestre, c'è una grossa novità disponibile ed è gratis per tutti
Web e Social

Digitale Terrestre, c'è una grossa novità disponibile ed è gratis per tutti
Grok ora è utilizzabile da tutti: l'AI di Elon Musk che sfida ChatGPT
Web e Social

Grok ora è utilizzabile da tutti: l'AI di Elon Musk che sfida ChatGPT
Link copiato negli appunti