Pwn2Own, tutti i browser sono vulnerabili

Il tradizionale contest per ricercatori ed esperti di sicurezza si conclude con l'ecatombe dei browser Web più popolari, tutti bucati da hacker che sanno il fatto loro. E che in poco tempo si portano a casa un mucchio di soldi
Il tradizionale contest per ricercatori ed esperti di sicurezza si conclude con l'ecatombe dei browser Web più popolari, tutti bucati da hacker che sanno il fatto loro. E che in poco tempo si portano a casa un mucchio di soldi

Com’è oramai tradizione annuale alla conferenza sulla sicurezza CanSecWest di Vancouver, hacker ed esperti del codice sono stati chiamati a sfidarsi nel contest Pwn2Own con l’obiettivo dichiarato di bypassare i meccanismi di sicurezza dei browser Web più popolari. L’obiettivo, tutto considerato, è stato raggiunto in pieno.

L’ottava edizione del Pwn2Own non ha lasciato nessun browser intatto, e i partecipanti sono riusciti a dimostrare, nella mezz’ora a loro disposizione – e ovviamente grazie alle ricerche estete condotte nelle settimane e nei mesi precedenti al contest – che la sicurezza assoluta è un concetto di pura fantasia.

Gli hacker hanno dimostrato il funzionamento dei loro exploit – rigorosamente basati su codice Web – sui sistemi operativi più popolari e aggiornati all’ultima patch ufficiale disponibile, facendo buon uso di 4 bug su Internet Explorer (Windows 8.1), 3 su Mozilla Firefox (Windows 8.1), 2 su Apple Safari (OS X Yosemite) e 1 su Google Chrome (Windows 8.1).

Durante il contest Pwn2Own è stata dimostrata anche l’esistenza di bug di sicurezza in software estremamente popolari come Adobe Reader, Flash Player e lo stesso Microsoft Windows, mentre per quanto riguarda le “personalità” che si sono distinte nella caccia al bug è obbligatorio citare Jung Hoon Lee.

Anche noto come lokihardt , Hoon Lee è riuscito a raccogliere una taglia di ben 110mila dollari sfruttando un bug di Chrome (75mila dollari), dimostrando un aumento di privilegi di accesso su Windows (25mila dollari) e “bucando” anche la versione beta di Chrome con lo stesso bug di quella stabile (10mila dollari). Le informazioni su tutti i bachi sono state per il momento condivise solo con le società interessate, e diverranno di pubblico dominio solo dopo la distribuzione di versioni aggiornate dei software fallati.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

23 03 2015
Link copiato negli appunti