Pwn2Own, tutti i browser sono vulnerabili

Il tradizionale contest per ricercatori ed esperti di sicurezza si conclude con l'ecatombe dei browser Web più popolari, tutti bucati da hacker che sanno il fatto loro. E che in poco tempo si portano a casa un mucchio di soldi

Roma – Com’è oramai tradizione annuale alla conferenza sulla sicurezza CanSecWest di Vancouver, hacker ed esperti del codice sono stati chiamati a sfidarsi nel contest Pwn2Own con l’obiettivo dichiarato di bypassare i meccanismi di sicurezza dei browser Web più popolari. L’obiettivo, tutto considerato, è stato raggiunto in pieno.

L’ottava edizione del Pwn2Own non ha lasciato nessun browser intatto, e i partecipanti sono riusciti a dimostrare, nella mezz’ora a loro disposizione – e ovviamente grazie alle ricerche estete condotte nelle settimane e nei mesi precedenti al contest – che la sicurezza assoluta è un concetto di pura fantasia.

Gli hacker hanno dimostrato il funzionamento dei loro exploit – rigorosamente basati su codice Web – sui sistemi operativi più popolari e aggiornati all’ultima patch ufficiale disponibile, facendo buon uso di 4 bug su Internet Explorer (Windows 8.1), 3 su Mozilla Firefox (Windows 8.1), 2 su Apple Safari (OS X Yosemite) e 1 su Google Chrome (Windows 8.1).

Durante il contest Pwn2Own è stata dimostrata anche l’esistenza di bug di sicurezza in software estremamente popolari come Adobe Reader, Flash Player e lo stesso Microsoft Windows, mentre per quanto riguarda le “personalità” che si sono distinte nella caccia al bug è obbligatorio citare Jung Hoon Lee.

Anche noto come lokihardt , Hoon Lee è riuscito a raccogliere una taglia di ben 110mila dollari sfruttando un bug di Chrome (75mila dollari), dimostrando un aumento di privilegi di accesso su Windows (25mila dollari) e “bucando” anche la versione beta di Chrome con lo stesso bug di quella stabile (10mila dollari). Le informazioni su tutti i bachi sono state per il momento condivise solo con le società interessate, e diverranno di pubblico dominio solo dopo la distribuzione di versioni aggiornate dei software fallati.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • silvan scrive:
    Solita musica.
    Tutte e soltanto parole, niente fatti concreti.
  • rico scrive:
    curioso...
    ...che nessuno dei nostri governanti parli di velocità e stabilità di connessione, cioè quello che interessa i netizen: i milioni della "banda larga" se li sono già pappati?
  • 4343dd32ddd fd42f3defy scrive:
    Una summa del renzismo
    Concetti farfugliati e generici, manifesta incompetenza tecnica, frasario da piazzisti televisivi, con la sola eccezione del cristallino ed inequivocabile intento di favorire la lobby di turno, in questo caso quella dello show-business ("...chiamando ad un ruolo più deciso, anche in termini di responsabilità, gli intermediari/operatori delle reti elettroniche"). Renzismo al 100%.Questa serie di XXXXXXXte se la bevono solo casalinghe con la quinta elementare, telerinXXXXXXXXti renziani che guardano la de filippi e la d'urso, e gli 11 milioni di zingari che l'anno scorso hanno votato PD in cambio di 80 euro.
  • Guybrush scrive:
    Alla voce diritto d'autore
    Ovvero l'acXXXXX alla conoscenza va pagato sempre. In italia è già così: basta andare a cercare i "criteri di ripartizione della SIAE".Che lungimiranza!GT
  • bubba scrive:
    a giacomello
    per "bilanciare l'acXXXXX alla conoscenza e all'informazione coi titolari dei diritti" non e' che ce vogliano minuziose analisi redatte da barbosi burocrati.... basta TAGLIARE i privilegi... a partire da quelli temporali... e "l'acXXXXX alla conoscenza" vien da se....
Chiudi i commenti