Al Pwn2Own cadono tutti i browser, ma è Internet Explorer ad avere la peggio

Al Pwn2Own cadono tutti i browser, ma è Internet Explorer ad avere la peggio

Durante la scorsa settimana si è tenuto il Pwn2Own, la manifestazione organizzata per scoprire e correggere le vulnerabilità dei vari browser

di pubblicata il , alle 09:26 nel canale Sicurezza
GoogleMicrosoftHP
 

Il Pwn2Own è ormai una ricorrenza annuale in cui vari ricercatori di sicurezza vengono lasciati a briglie sciolte con l'obiettivo di scoprire quante più falle di sicurezza all'interno di alcuni software fra i più diffusi. All'evento partecipano anche molte società del settore, come Google, Microsoft, Apple e Mozilla, che spartiscono ingenti premi per l'individuazione e l'eventuale correzione di suddette vulnerabilità.

Pwn2Own 2015
Fonte: YouTube

Si tratta di una pratica che normalmente richiede giorni di lavoro, talvolta anche settimane o mesi, ma che gli impavidi ricercatori al Pwn2Own devono portare a termine in trenta minuti. Trenta minuti in cui devono valicare le difese di un browser o un software e dimostrare l'hack arrivando per primi fra tutti i partecipanti. Quest'anno l'ammontare dei premi è stato di 557 mila dollari, con la metà vinta da un solo uomo.

Parliamo del coreano Jung Hoon Lee, l'unico a riuscire a penetrare le difese di Chrome e ad eseguire e dimostrare altri due bug su Internet Explorer e Safari. La scoperta della falla su Chrome gli è valsa da sola un premio di 110 mila dollari, una cifra particolarmente consistente perché coinvolgeva anche una versione in beta del browser. Rivelato in una presentazione di due minuti, il bug di Chrome ha permesso a Lee di guadagnare 916 dollari al secondo.

Alla fine del contest, tutti i bug scoperti vengono discussi in privato con le società coinvolte all'interno della "Chamber of Disclosures". Il Pwn2Own non è infatti solo una manifestazione per dimostrare le proprie abilità, ma anche un'opportunità per rendere il software dei nostri sistemi più sicuro, stabile ed affidabile. Tirando le somme, quest'anno sono stati trovati 21 bug: cinque su Windows, quattro su Internet Explorer, tre su Firefox, Adobe Reader e Flash, due su Safari e uno su Chrome.

Chrome si rivela ancora una volta il software per la navigazione del web più sicuro, con Internet Explorer e Firefox che si spartiscono le ultime posizioni. Un epilogo che ricorda gli esiti degli scorsi anni e che conferma nuovamente le qualità del browser di Google, nato con la sicurezza in mente grazie al sandboxing dei processi ed altre funzionalità sviluppate per rendere il codice il più affidabile possibile.

Un approccio che seguiranno anche gli altri big del settore: Microsoft ha già segnalato che su Windows 10 il browser nativo non sarà più Internet Explorer, ma Spartan, mentre nei piani di Mozilla c'è il passaggio al nuovo linguaggio di programmazione proprietario Rust, ancora in fase di sviluppo e che probabilmente non vedrà la luce prima di qualche anno.

I migliori sconti su Amazon oggi

origimagic C4 Mini PC,con Ryzen 5 3550H Processor(fino a 3,7GHz) Light Gaming PC,16GB RAM,512GB SSD,Supporto Triple Display,USB3.2/Doppia Ethernet/Wi-Fi5/BT 5.0,Mini Desktop per Ufficio Domestico

239.00 Compra ora

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

299.00 Compra ora

LG SQC2 Soundbar TV 300W, 2.1 Canali con Subwoofer Wireless, Soundbar Dolby Digital, Bluetooth, Ingresso Ottico, Ingresso AUX 3,5mm, USB

116.47 Compra ora
41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s0nnyd3marco23 Marzo 2015, 09:29 #1
Direi nulla di nuovo sotto il sole.
TheQ.23 Marzo 2015, 09:37 #2
Insomma, IE è lontano dal "We are Spartaaaaannnnn"
MikTaeTrioR23 Marzo 2015, 09:44 #3
eh si...è proprio un pessimo browser chrome...
palleggiatore23 Marzo 2015, 10:02 #4
Meglio SRWare Iron
^Alex^23 Marzo 2015, 10:35 #5
Quando la gente capirà che questi Pwn2Own lasciano il tempo che trovano sarà sempre troppo tardi.
Se ne fai uno al mese, ogni mese cadrebbe un Browser diverso.
Inoltre, molti non considerano il fatto che quelli che vanno al Pwn2Own, non vanno per fare la gitarella scolastica ma per vincere i premi che mettono in palio.
E per farlo passano giorno e notte a scoprire falle.
Chi cade prima in questo contesto ha ben poco senso, mi piacerebbe sapere invece quanti mesi impiegano per trovare le falle che poi portano al Pwn2Own.
Anche io apro una cassaforte in 2 minuti, grazie al casso....Dopo aver passato mesi a scoprirne i punti deboli però!
s0nnyd3marco23 Marzo 2015, 10:53 #6
Originariamente inviato da: Bivvoz
Non capisco perchè se sono riusciti a bucare tutti i browser allora chrome è più sicuro degli altri.

Secondo me perchè ormai è prassi che Google è il princope azzurro, MS è la matrigna cattiva e Firefox poverina è la cenerentola del gruppo, brava ma povera e con le pezze.


Infatti: il zero day di chrome permetteva di ottenere i privilegi di SYSTEM e non dell'utente, come riportato qui.

Per questo ho detto nulla di nuovo sotto il sole.
koni23 Marzo 2015, 10:56 #7
come sempre il numero delle vulnerabilità scoperte è proporzionale al cash in gioco :P
l'anno scorso IE ne era uscito quasi indenne dato che M$ aveva messo pochi soldi su p2o quest'anno con l'aumento dei fondi i bus si sono visti
stessa cosa per chrome dato che Google finanzia sistemi alternativi per comunicare i bug del proprio browser
AleLinuxBSD23 Marzo 2015, 11:10 #8
Originariamente inviato da: palleggiatore
Meglio SRWare Iron

Condivido dato che cercano di tutelare un po' meglio la privacy dell'utente.
Però purtroppo ho notato che al livello di compatibilità con Linux restano un po' indietro tanto che alla fine ho dovuto installarmi google chromium, più fare qualche acrobazia per disporre del supporto per flash che, sfortunatamente, continua ad essere richiesto in alcuni siti.
Alla fine penso che faccio prima a mettermi google chrome, tanto la differenza con chromium, non è rilevante.
vkmi23 Marzo 2015, 11:10 #9
Si sa niente di Opera invece? O essendo adesso anche Opera su Webkit conta come Chrome?
s0nnyd3marco23 Marzo 2015, 11:12 #10
Originariamente inviato da: Bivvoz
Non ho capito cosa intendi, comunque c'è scritto che hanno ricevuto un extra di 25k$ per aver ottenuto anche i privilegi si system, da nessuna parte c'è scritto che non hanno ottenuto quelli di user, anzi sembra scontato che quelli siano la base.

Anzi se vogliamo dirla tutta c'è scritto che IE è stato possibile bucarlo ancora una volta tramite Java


Mi sono espresso male: intendevo anche i privilegi di system e non solo i privilegi dell'utente.
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^