Chrome e Firefox, ultime vittime del Pwn2Own

Finale a sorpresa per il contest Pnwium indetto da Google all’interno del Pwn2Own . Dopo l’exploit eseguito dallo studente universitario Sergey Glazunov , noto partecipante al progetto Chromium, un altro sfidante indipendente bypassa la sandbox del browser Chrome, segnalando ai tecnici 3 diverse vulnerabilità zero-day. Questa volta si tratta di un adolescente che si fa chiamare Pinkie Pie .

Il ragazzino dichiara di aver impiegato poco più di una settimana per mettere a punto l’attacco, sferrato proprio sul finire della gara hacker. “Pinkie Pie” incassa un premio da 60mila dollari e si prende una bella rivincita sul team Google, che fino a questo momento non aveva mai preso in considerazione il suo materiale.

La dimostrazione dell’accesso al sistema non si è conclusa con la classica calcolatrice avviata ma con l’apertura di una foto che ritrae il roseo personaggio del cartoon Mio Mini Pony . Il coder venuto dal nulla sottolinea di aver bucato con estrema facilità le difese del sandbox, ma il colosso di Moutain View non rivelerà dettagli sui bug impiegati nell’impresa fino a quando non sarà pronta una patch correttiva.

C’è ovviamente differenza tra gli hack che sfruttano le debolezze dell’installazione di default e quelli che passano da codice altrui, approfittando magari del plugin Flash. Una differenza che Google ha voluto mettere in evidenza per bene, con una ulteriore firma di protezione inclusa dalla versione 17.0.963.65 di Chrome, poco prima della gara.

Quest’anno il browser Mozilla è stato l’ultimo a cadere sotto i colpi degli hacker iscritti al contest. Willem Pinckaers e Vincenzo Iozzo hanno sfruttato una singola vulnerabilità zero-day scovata nel recente Firefox 10.0.2. I due ricercatori hanno vinto 30mila dollari arrivando ad aggirare le protezioni ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention) del sistema operativo Windows 7.

Roberto Pulito