Pwn2Own 2014: cadono tutti i browser, ma è Firefox ad avere la peggio
Al secondo giorno dell'evento Pwn2Own 2014 sono caduti tutti i browser web: Chrome, Internet Explorer e Safari, ma è stato Firefox ad avere avuto la peggio, con tre falle 0-day scoperte e dimostrate
di Nino Grasso pubblicata il 17 Marzo 2014, alle 12:01 nel canale WebFirefoxMozilla
Pwn2Own è una competizione annuale fra ricercatori di sicurezza che ha come scopo quello di trovare vulnerabilità all'interno di software specificamente pensati per la fruizione di contenuti sul web. Il montepremi delle competizioni può superare anche il milione di dollari e la visibilità è assicurata per chi partecipa.
Durante il primo giorno dell'evento è il francesce Vupen ad assicurarsi una grossa fetta del montepremi, vincendo 300.000 dei 400.000 dollari assegnati. Il ricercatore è riuscito a sfruttare falle 0-day su Adobe Flash, Adobe Reader, Internet Explorer e Mozilla Firefox. Chrome resta inviolato nel primo giorno di competizioni.
Il browser di Google cade però durante il secondo giorno, in cui HP assegna un montepremi di 450.000$, che va a sommarsi ai 400.000 del primo giorno del contest. A portare a casa il risultato peggiore è Mozilla Firefox, per il quale erano state scoperte tre falle di sicurezza nel primo giorno, ed un'altra nel secondo.
Mozilla si è sempre mostrata pronta a correggere le falle di sicurezza all'interno del proprio Firefox: "Stiamo lavorando in modo da risolvere velocemente tutti i bug scoperti, e ci aspettiamo di rilasciare i fix durante la prossima settimana", ha dichiarato Sid Stamm, Senior Engineering Manager of Security and Privacy per Mozilla.
Stamm ha continuato specificando che al momento il rischio per gli utenti di Firefox è praticamente nullo, almeno nei prossimi giorni. Le vulnerabilità scoperte infatti non sono state rese pubbliche, e lo saranno solamente quando verranno rilasciate le relative patch di sicurezza. Secondo Stamm, inoltre, il risultato negativo di Firefox ha motivazioni esclusivamente economiche.
Pwn2Own paga grossi quantitativi di denaro per la scoperta di ogni vulnerabilità (circa 50.000$), soprattutto se paragonati al programma di "bug bounty" di Mozilla, che offre 3.000$ per ogni falla scoperta. Google e Microsoft offrono fino a 100.000$ per ogni vulnerabilità scoperta rispettivamente su Chrome e Internet Explorer.
I ricercatori, pertanto, hanno aspettato l'evento per divulgare le falle di sicurezza su Firefox, in modo da ottenere la più alta retribuzione possibile dalla scoperta.
Recensione Samsung Galaxy Z Fold7: un grande salto generazionale 
The Edge of Fate è Destiny 2.5. E questo è un problema
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
Sharkoon punta sui case a basso costo, ma pieni di LED, con VK4 ARGB
La tua rete Wi-Fi fa pena? Questi FRITZ!Box e ripetitori ora costano la metà e cambiano tutto
Amazon, un weekend di fuoco per gli sconti: mini PC, Amazfit GTR 3 a 69€, Apple Watch 199€, 2 GoPro e molto altro in svendita
Ancora 3 smartwatch Amazfit in forte sconto: GTR3 a 69€, GTR3 Pro a 99€ e occhio al Bip 6
Sharkoon A60 RGB: dissipatore ad aria dual-tower con illuminazione ARGB
HONOR 400 Pro a prezzo bomba su Amazon: 512GB, Snapdragon 8 Gen 3 e fotocamera da 200MP sotto i 650€
Offerte da non perdere: robot aspirapolvere super intelligenti a metà prezzo su Amazon, fino a 20.000 Pa di potenza
Apple Watch e Galaxy Watch ai minimi storici: i modelli Series 10 e Watch8 in sconto su Amazon. Con prezzi a partire da meno di 200€
Il rover NASA Perseverance ha ''raccolto'' involontariamente alcune rocce in una ruota
NASA e ISRO hanno lanciato il satellite NISAR per il monitoraggio della Terra
Switch 2 ha venduto 5,82 milioni di console in un mese, oltre il doppio rispetto alla prima Switch
Assassin's Creed Black Flag Remake: le minacce di Ubisoft di azioni legali sembrano una conferma
Cosa ci fa una Xiaomi SU7 Ultra alle porte dello stabilimento Ferrari? La risposta potrebbe sorprendervi
Promo AliExpress Choice Day: prezzi stracciati su CPU AMD, cuffie Sony, smartwatch, GoPro e molto altro
23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoAspetto solo che rilascino WP8.1 per poi passare definitivamente a IE.
anche se va contenuto di parecchio ma non per colpa sua disabilitati tutti i plugin non necessari e mettere sia acrobat che flash in modalità ask
in questo modo almeno non vengono runnati da subito tutti i plugin
noscript e adblock plus sono un altro obbligo
se si gira con questi piccoli accorgimenti già si viaggia meglio
cmq spero fixino tutto quanto prima
Certo, emet si può usare con qualsiasi browser, resta cmq un risultato notevole. Peccato non sia inserito di serie in Windows, dovrebbe avere molta più pubblicità imho (per dire, se neanche le testate specializzate ne parlano...)
Ah ah ah...Grazie al cavolo....
Quando in palio hanno messo la bellezza di 950000 dollari x bucare Crhome pensi davvero ci sia qualcuno interessato ai bruscolini?
Non interessava, nessuno ha perso tempo a cercare le falle perché non era conveniente, è diverso.
Se devo svaligiare una banca aspetto/punto quella piena di soldi, mi pare ovvio.....
Nell'articolo di cui stiamo discutendo e che tu non hai letto....
A parte che 450+400 fa 850 e non 950! Ma quello e' il montepremi, mica quello che si incassa a bucare Chrome, infatti prima dice: [I]Durante il primo giorno dell'evento è il francesce Vupen ad assicurarsi una grossa fetta del montepremi, vincendo 300.000 dei 400.000 dollari assegnati. Il ricercatore è riuscito a sfruttare falle 0-day su [U]Adobe Flash, Adobe Reader, Internet Explorer e Mozilla Firefox[/U]. Chrome resta inviolato nel primo giorno di competizioni.[/I]
Edit: da Wiki:
At Pwn2Own 2014, French security firm VUPEN has won a total prize of $400,000, the highest payout to date, after successfully exploiting fully updated Internet Explorer 11, Adobe Reader XI, Google Chrome, Adobe Flash, and Mozilla Firefox on a 64-bit version of Windows 8.1, by using a total of 11 distinct zero-day vulnerabilities. VUPEN has accepted, unlike 2012, to report all exploited vulnerabilities to the affected vendors including Google to allow them fix the exploits.
Quindi, in teoria, verrebbero "solo" 100.000$ per le falle su Chrome!
Aspetto solo che rilascino WP8.1 per poi passare definitivamente a IE.
Ma dai... IE... Capirei se mi dicessi Chrome o altri browser che ahimé quasi nessuno vuole nemmeno provare ma che per certi utilizzi sarebbero validissimi ma passare da firefox a IE è veramente inconcepibile.
Ti prego ripensaci!!!
http://nakedsecurity.sophos.com/201...and-win-150000/
Infatti non sono 950k (850k in la realtà 450+400=850) per il solo Chrome ma credo sia il TOTALE del montepremio elargito. Infatti come fanno ad essere stati dati 400k per Chrome durante il primo giorno SE NON E' stato bucato, impossibile.
Infatti poi dice: HP premia il "bucaggio" di Chrome con 450k che vanno SOMMATI ai 400k ma si riferisce al montepremi totale non di chrome.
Un pò di confusione c'è nell'articolo però se lo si leggeva attentamente si capiva
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".