Ownano Vista e Mac OS X. Resiste Ubuntu

Mac OS X ci mette 24 ore. Vista un giorno in più. Ma crollano tutti. Tranne Linux. I risultati di PWN to OWN

Roma – Sono bastati 120 secondi a Charlie Miller, Mark Daniel e Jake Honoroff di Indipendent Security Evalutarors ( ISE , per mostrare la falla da loro scoperta nel sistema operativo Mac OS X 10.5.2 ai giurati dell’ edizione 2008 di PWN to OWN . Due minuti per acquisire il controllo della macchina – un MacBook Air – aggiudicarsela e portarsi a casa anche un assegno da 10mila dollari. Dopo qualche ora anche Vista sarebbe caduto, mentre sembrerebbe che Linux abbia superato indenne la sfida lanciata da CanSecWest anche quest’anno.

Ubuntu stand still, on the hacker hill - Charlie Miller Il MacBook Air, assieme ad un Sony Vaio TZ37 con Ubuntu 7.1 e un Fujitsu U810 con Vista aggiornato al SP1, avevano passato indenni le prime 24 ore di sfida, quelle in cui solo gli exploit in remoto erano possibili. Nessuno era stato in grado di aggiudicarsi il premio da 20mila dollari messo in palio per questo tipo di vulnerabilità. A partire dal secondo giorno di gara, le regole si erano fatte più permissive: un minimo di interazione diretta con il computer, come l’apertura di una email o la visita ad un sito, era consentita.

Proprio sfruttando un link inserito in una email, Miller (in fotografia) e soci hanno spedito il MacBook Air su una pagina da loro appositamente preparata per l’occasione: in pochi attimi il sistema era sotto il loro controllo.

Non è chiaro se il problema sia attribuibile a Safari, browser di default in ambiente Mac OS, o ad un componente di sistema come Quicktime (che lo scorso anno aveva mostrato una falla che aveva permesso al socio dei vincitori, Dino Dai Zovi, di aggiudicarsi il premio): non è stato neppure svelato se la falla faccia parte del codice open source su cui si basa Safari, o se invece si tratti della parte “proprietaria” del browser di Cupertino. I dettagli sul problema non sono stati rivelati, e gli organizzatori hanno provveduto ad informarne immediatamente Apple: gli utenti quindi non corrono gravi pericoli, visto che nessuno – a parte gli scopritori e quelli di CanSecWest – sono a conoscenza di quale sia il vero punto debole.

A quanto pare , i tre avevano lavorato al problema per almeno una settimana: si erano concentrati su Mac OS, e si erano dati da fare per pensare a come violare il sistema. Secondo quanto riferito, ci sarebbero voluti un paio di giorni per scovare un varco nel codice, e il doppio per realizzare un appropriato exploit per sfruttarlo. Tecnici Apple, ha riferito l’organizzazione, sarebbero già al lavoro per risolvere il problema.

Alexander Sotirov e Shane Macaulay Per veder cadere Windows Vista si è dovuto attendere il terzo giorno , quando ai partecipanti è stato concessa la possibilità di fare leva anche su celebri applicazioni di terze parti comunemente installate sulla maggioranza dei PC. Shane Macaulay – ritratto a destra nella foto con l’amico Alexander Sotirov, l’anno scorso al fianco di Dai Zovi – di Security Objectives si è portato a casa il laptop Fujitsu e 5mila dollari, si dice grazie ad un problema scovato nel codice di Flash sfruttato attraverso Java.

Macaulay non aveva fatto i compiti a casa con la stessa diligenza dei suoi colleghi: ci sono volute diverse ore solo per consentire al codice del suo exploit di girare sulla macchina bersaglio, pare perché l’hacker non aveva tenuto conto, nei suoi esperimenti, del recente Service Pack 1 per Vista. Il suo hack ha necessitato di alcune modifiche per poter risultare efficace, ma l’aver fatto leva su Flash e Java dovrebbe renderlo potenzialmente un problema per tutte le piattaforme su cui il software di Adobe è presente.

Niente da fare, invece, per il Sony Vaio con Linux. Nonostante i partecipanti avessero individuato alcune falle, nessuno pare abbia voluto infierire sviluppando un exploit in grado di sfruttarle: “Sono sorpresa che non sia stato assegnato” ha detto Terri Forslof, portavoce degli organizzatori. La spiegazione più accreditata è che gli hacker impegnati sulla piattaforma open source non abbiano voluto agire contro i loro colleghi per ragioni etiche.

Luca Annunziata

( fonte immagini )

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • el hefe scrive:
    OOXML: irregolarità in tutta europa
    "Se M$ otterrà la certificazione al formato OOXML, sarà per irregolarità nel voto""ecco ciò che è successo in Germania, Norvegia e Croazia"questo il link all'articolohttp://www.groklaw.net/article.php?story=2008032913190768
  • andrea4876 scrive:
    Standard
    Il motivo principale per il quale vengono acquistate milioni di licenze di Office è per non avere problemi di compatibilità quando si invia un file ad altri.Se si diffondesse uno standard REALE Office venderebbe milioni di licenze in meno. E' un vero scenario da incubo per Microsoft.Non capisco molto di formati ma è ovvio che uno standard proposto da chi domina incontrastato il mercato sarà studiato apposta per dare il più possibile problemi di compatibilità e contrastare la libera concorrenza. Se fossi proprietario di Microsoft farei di tutto per evitare l'interoperabilità.Che bisogno avrei di garantire interoperabilità quando la stragrande maggioranza dei PC nel mondo utilizza il mio sistema operativo con la mia suite Office? Solo un idiota lo farebbe!
  • jeco scrive:
    Almeno una volta MS poteva fare ...
    ... la cosa giusta!E' uno schifo. Un formato standard già esiste e si chiama ODF.MS doveva adottare questo se voleva uno formato standard nel suo prodotto di punta. Poi avrebbe creato quello che voleva (OXML, OOXML, OOOXML, ...). Come al solito MS si dimostra avida e vuol vincere come fece con la "guerra dei browser"!Questo non è giusto e anche i "simpatizzanti" di questo formato lo sanno: per caso MS vi da la paghetta mensile?
    • longinous scrive:
      Re: Almeno una volta MS poteva fare ...
      - Scritto da: jeco
      Questo non è giusto e anche i "simpatizzanti" di
      questo formato lo sanno: per caso MS vi da la
      paghetta
      mensile?No, non userebbero win se fossero così furbi, lo fanno aggratise!(rotfl)(rotfl)(rotfl)
      • j4w scrive:
        Re: Almeno una volta MS poteva fare ...
        ROde sempre restare all'1% di diffusione mondiale ai linari.
        • Taddeo scrive:
          Re: Almeno una volta MS poteva fare ...
          - Scritto da: j4w
          ROde sempre restare all'1% di diffusione mondiale
          ai
          linari.1% ?! dove l'hai letta questa (rotfl) ?ti capita spesso di confondere OOXMl con windows e ODF con linux (rotfl) ?!?!
  • nello gala scrive:
    Parole parole parole....
    Ma alla fin fine si sa già, viste le critiche ad ISO, che OOxml non passerà!Meglio allora attaccarla...Ma scusate chi è che ha chiesto di far diventare standard OOxml?Non di certo ISO, ma MS che ora sa che non otterrà niente...Certo sarà lo standard del futuro OOxml ma vuoi mettere la soddisfazione per l'ennesima bocciatura?Tanto si sa, alla fine ci ritroveremo office con OOxml sui nostri pc pre-installato!
    • ahio scrive:
      Re: Parole parole parole....
      - Scritto da: nello gala
      Ma alla fin fine si sa già, viste le critiche ad
      ISO, che OOxml non
      passerà!
      Meglio allora attaccarla...
      Ma scusate chi è che ha chiesto di far diventare
      standard
      OOxml?
      Non di certo ISO, ma MS che ora sa che non
      otterrà
      niente...
      Certo sarà lo standard del futuro OOxml ma vuoi
      mettere la soddisfazione per l'ennesima
      bocciatura?
      Tanto si sa, alla fine ci ritroveremo office con
      OOxml sui nostri pc
      pre-installato!non e' ufficiale ma in base ai conteggi che hanno fatto sembra proprio che ooooooooooooxml sia diventato iso
  • Anonimo scrive:
    Tanto si sa già il verdetto
    OOXML diventerà standard ISO!Linari, per voi è finita!(rotfl)(rotfl)(rotfl)(rotfl)
    • .net scrive:
      Re: Tanto si sa già il verdetto
      Certo, loro sono consapevoli dell'inferiorità di ODF perciò dicono che ISO avrebbe dovuto ignorare le richieste di standardizzazione di OOXML
      • longinous scrive:
        Re: Tanto si sa già il verdetto
        - Scritto da: .net
        Certo, loro sono consapevoli dell'inferiorità di
        ODFIo non ne sono consapevole: mi fai un elenco?niente link, voglio un elenco scritto di tua mano, visto che sembri saperne così tanto ti ci vorranno dieci secondi a scrivere almeno dieci punti in cui ODF è carente mentre OOXML è più che fiorente
        perciò dicono che ISO avrebbe dovuto ignorare
        le richieste di standardizzazione di
        OOXMLSai com'è, gli accordi sono accordi.Se li sottoscrivi perché ti fanno comodo poi non è che puoi evitare di seguirne tutti i punti perché alcuni sono scomodi.O li accetti tutti per intero o non ne accetti nessuno con tutte le conseguenze del caso.Ma cosa te ne parlo a fare?tanto sei solo un trollone, per firmarti .net!
        • j4w scrive:
          Re: Tanto si sa già il verdetto
          Prima di scrivere cazzate: perchè temete che iso approvi OOXML? se ritenete sia tanto na cagatina, non temete, non lo approvano... Il fatto che qualche sostenitore di ODF dice che OOXML non deve essere proprio preso in considerazione da ISO la dice lunga sulle ideologie del cazzo dei cantinari. Lasciate giudicare ad ISO con obiettività, il resto è solo fuffa, parole sparse al vento.
          • vac scrive:
            Re: Tanto si sa già il verdetto
            Proprio per quelli come te:Se ci sono 2 standard gli utonti non sono in grado di scegliere il migliore.L'utonto medio (quello come te) quando si ritrova wordPad preinstallato lo usa.
          • j4w scrive:
            Re: Tanto si sa già il verdetto
            Innanzitutto tu non sai manco con chi stai parlando. Sinceramente per me è indifferente che si adotti ODF o OOXML, , non mi cambia assolutamente nulla. Tanto i più diffusi programmi supporteranno entrambi i formati, tutte le lamentele sono solo inutili discorsi che di concreto non hanno nulla.
          • Sgabbio scrive:
            Re: Tanto si sa già il verdetto
            Non avrebbe senso approvare 2 standard per la stessa cosa, provocando confusione, poi se vogliamo considerare che lo standard proposto da microsoft e fatto per capricci perchè per quest'ultima è un disonore usare standard certificati che non siano inventati da loro.
          • quoto scrive:
            Re: Tanto si sa già il verdetto
            - Scritto da: j4w
            Innanzitutto tu non sai manco con chi stai
            parlando. Sinceramente per me è indifferente che
            si adotti ODF o OOXML, , non mi cambia
            assolutamente nulla. Tanto i più diffusi
            programmi supporteranno entrambi i formati, tutte
            le lamentele sono solo inutili discorsi che di
            concreto non hanno
            nulla.Ovvio non ti cambia nulla perché gli utonti come te usano wordpad
          • www.aleksfalcone.org scrive:
            Re: Tanto si sa già il verdetto
            - Scritto da: j4w
            Innanzitutto tu non sai manco con chi stai
            parlando.Il modo di esprimersi dice molto sul parlante. Nel tuo caso è evidente con chi ci si trova di fronte.
            Sinceramente per me è indifferente che
            si adotti ODF o OOXML, , non mi cambia
            assolutamente nulla.CVD.Potevi evitare di intervenire, se la cosa non desta il tuo interessa.
            Tanto i più diffusi
            programmi supporteranno entrambi i formatiQuando? E come fai ad esserne certo?
            tutte le lamentele sono solo inutili discorsi che di
            concreto non hanno nulla.Se tu ne ascoltassi almeno uno, forse smetteresti di chiamarli 'lamentele'.
          • Shu scrive:
            Re: Tanto si sa già il verdetto
            - Scritto da: j4w
            Prima di scrivere cazzate: perchè temete che iso
            approvi OOXML? se ritenete sia tanto na cagatina,
            non temete, non lo approvano... Perche` ho sentito delle cose...
            Lasciate giudicare ad ISO con
            obiettività, il resto è solo fuffa, parole sparse
            al vento.... che mi fanno pensare che ISO non stia affatto decidendo con obiettività:http://www.groklaw.com/- New Zealand Votes No; Malaysia Tech Recommends No but It Abstains Anyway: Australia Abstains; India Suggests- OOXML Vote: Irregularities in Germany & Croatia and a Call for an Investigation of Norway- Updegrove: Germany Told "Impossible" to Vote No. So, They Vote Yes - Updated 2Xs: Finland Yes- President of EU Academy for Standardisation criticizes OOXML, says duplicative standards conflict with WTO rules- Kenya Changes From Yes to Abstain! Denmark Says No; EU Commission Investigating Poland - Updated 6Xs - Mexico- Microsoft Files Complaint About India's No Vote on OOXML - Updated 2Xs- Poland Fails to Approve OOXML; Chairman Decides Members Can Vote by Email 10 More Days - huh? - UpdatedSembra quasi che la MS abbia foraggiato mezzo mondo pur di far passare questo "standard"...Bye.
          • www.aleksfalcone.org scrive:
            Re: Tanto si sa già il verdetto
            - Scritto da: j4w
            Prima di scrivere cazzate: perchè temete che iso
            approvi OOXML?Perché non sarebbe cosa vantaggiosa per nessuno. Eccezion fatta per Microsoft.
            Il fatto che
            qualche sostenitore di ODF dice che OOXML non
            deve essere proprio preso in considerazione da
            ISO la dice lunga sulle ideologie del cazzo dei
            cantinari. Non c'è bisogno di sostenere ODF per vedere i problemi che causerebbe l'approvazione di OOXML. Se ti sforzi un po' potresti capirlo da solo.
            Lasciate giudicare ad ISO con obiettività, il resto
            è solo fuffa, parole sparse al vento.Se tu le capissi, scopriresti il contrario.Beata ignoranza.
          • Marco Fanti scrive:
            Re: Tanto si sa già il verdetto
            Forse temo che OOXML venga approvato perchè non sarebbe uno standard aperto sotto molti punti di vista. E comunque esiste già ODF.
    • markit scrive:
      Re: Tanto si sa già il verdetto
      Ehm, forse volevi scrivere:"utenti, per voi è finita"Controlla meglio la prossima volta prima di postare ;)
    • longinous scrive:
      Re: Tanto si sa già il verdetto
      - Scritto da: Anonimo
      OOXML diventerà standard ISO!Cavolo, hai la sfera di cristallo?Mi daii numeri per fare 6 e 5+1 nella prossima estrazione?
      Linari, per voi è finita! :-o :-o :-o :-o :-o
      (rotfl)(rotfl)(rotfl)(rotfl)(troll)(troll1)(troll2)(troll3)(troll4)
    • citrullo scrive:
      Re: Tanto si sa già il verdetto
      - Scritto da: Anonimo
      OOXML diventerà standard ISO!
      Linari, per voi è finita!

      (rotfl)(rotfl)(rotfl)(rotfl)Sai, io uso windows ma non ho intenzione di sprecare soldi in una costosa e limitata licenza di office. Come faccio ad aprire i doc, docx, ooxml e odf?Pirato office o mi attacco?Essere linari c'entra poco.Dammi tu la soluzione genio.La BSA doverebbe passare di casa in casa a vedere quanti sono in regola, poi ridiamo.
      • Giocatore110 scrive:
        Re: Tanto si sa già il verdetto
        Se diventa standard ISO lo puoi Utilizzare con la medesima facilità con cui ora usiamo l'ODF, e sinceramente sono d'accordo, dov'è il problema se ci sono 2 standard, entrambi usati e nessuno dei quali distrugge la standarizzazione dell'altro?
        • bi biiii scrive:
          Re: Tanto si sa già il verdetto

          Se diventa standard ISO lo puoi Utilizzare con la
          medesima facilità con cui ora usiamo l'ODF, e
          sinceramente sono d'accordo, dov'è il problema se
          ci sono 2 standard, entrambi usati e nessuno dei
          quali distrugge la standarizzazione
          dell'altro?Secondo te serve a qualcosa mettersi d'accordo suun formato comune? L'approvazione a standard ISOdovrebbe servire a questo.
          • Sgabbio scrive:
            Re: Tanto si sa già il verdetto
            a microsoft non gli costerebbe supportare ODF....Comunque i formtati di Office 2007, verrano supportati in OpenOffice 3
          • Wolf01 scrive:
            Re: Tanto si sa già il verdetto
            ...come al solito formattati a casaccio e il supporto ai tag "ComeFacevaWord95" o "ComeExcel97" completamente mancantiFortunatamente si, supporterà i formati, ma li supporterà sicuramente come supporta adesso il formato .doc, una x in fondo non cambia niente, anche se il supporto si è molto raffinato col passare degli anni, ma non è e non sarà mai completo... ecco perchè è più facile che Office supporti ODF senza complicare la vita a noi utenti
          • Giocatore110 scrive:
            Re: Tanto si sa già il verdetto
            é più facile che seguendo le linee delle standarizzazioni ISO ed ECMA entrambi si supportino entrambi gli standard correttamente e tanti saluti alle incompatibilità, no?
Chiudi i commenti