Link alla notizia: http://www.hwupgrade.it/news/sicurezza/pwn2own-bucati-safari-firefox-ie8-chrome-non-ancora-testato_32057.html

Nel corso della prima giornata del PwnOwn 2010 quasi tutti i principali browser sono caduti sotto gli attacchi degli hacker. Salvo Google Chrome, che per ora non ha subito ancora nessun tentativo di attacco.

Click sul link per visualizzare la notizia.

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/pwn2own-bucati-safari-firefox-ie8-chrome-non-ancora-testato_32057.html

Nel corso della prima giornata del PwnOwn 2010 quasi tutti i principali browser sono caduti sotto gli attacchi degli hacker. Salvo Google Chrome, che per ora non ha subito ancora nessun tentativo di attacco.

Click sul link per visualizzare la notizia.

-non ho capito perchè hanno usato la ff3.0 quando ora stiamo alla 3.6.2
edit:
Tutti i software e i sistemi operativi sono stati aggiornati alle ultime release disponibili prima dell'inizio del contest.
..quindi con firefox 3 aggiornata dovrebbe essere intesa la 3.0.19 di cui è stato annunciato che è finito il supporto...ora stiamo alla 3.6.2 e mi sembra che questa non sia stata testata!!

poi opera non è stato preso in considerazione?
inoltre penso che i vantaggi di una sandboxie interna nel browser siano innegabili anche sul forum mozilla italia ho letto pareri positivi...prossimamente mi aspetto che tutti i browser con i futuri sviluppi ne adottino una!

edit edit:


http://punto-informatico.it/2841144/PI/News/pwn2own-cadono-quasi-tutti.aspx

È riuscito ad aggiudicarsi la stessa cifra lo studente tedesco Nils (noto col solo nome di battesimo), il quale è stato capace di bucare Firefox 3 sotto Windows 7 x64 e, similmente a Vreugdenhil, ad evadere ASLR e DEP: grazie al suo exploit, Nils ha eseguito il programma calc.exe, dimostrando la capacità di lanciare un qualsiasi comando di Windows. Al momento non è chiaro se l'exploit di Nils funzioni anche con le più recenti versioni 3.x di Firefox, quali la 3.5 e la 3.6.

http://www.webnews.it/news/leggi/12650/iphone-ie-firefox-e-safari-pwned/
Nils ha tirato in ballo Firefox prendendo pieno controllo del sistema tramite "memory corruption vulnerability" (nella prova è stato utilizzato, come da regolamento, Firefox 3 invece dell'ultimo Firefox 3.6.2). Anche in questo caso sono state aggirate le tecnologie ASLR e DEP, qualcosa su cui Microsoft promette immediate indagini e per le quali non si segnala al momento alcun attacco in corso.

L'unico browser web a salvarsi per il momento è Chrome, che finora è stato "snobbato" dagli hacker

Mi pare che anche Opera sia stato snobbato :D

La notizia, imho, fa capire una cosa che alcuni non dovrebbero mai dimenticare.

Nessun sistema operativo è invulnerabile al 100%, sopratutto in questi casi dato che parliamo di programmi multipiattaforma (tranne Explorer).

C'è solo da inchinarsi alla potenza di queste persone (gli hackers)!!
Sfruttare le loro capacità e conoscenze per risolvere gli innumerevoli problemi di internet porterà sicuramente a vantaggi per noi poveri utenti!!

Poter eseguire un programma già installato sul PC non significa comunque eseguire codice arbitario. Inoltre bisogna vedere con quali privilegi si riesce ad eseguire il programma in questione.

praticamente gli hacker nn sono certi di poter bucare chrome e quindi nn ci provanno nemmeno..ho capito bene?

praticamente gli hacker nn sono certi di poter bucare chrome e quindi nn ci provanno nemmeno..ho capito bene?

Non è detto, Chrone usa Webkit proprio come safari. Se il baco sta in webkit e non in safari stesso è molto probabile che anche chrome ne possa soffrire

per ora contento di avere chrome :)

che bello mettere in "sfida" dei hacker molto capaci per individuare e risolvere eventuali problemi di sicurezza nelle applicazioni, per miseri 10.000 dollari a premio, ma per piacere...

Per ora contento che gli hacker snobbino opera :-)

Non è detto, Chrone usa Webkit proprio come safari. Se il baco sta in webkit e non in safari stesso è molto probabile che anche chrome ne possa soffrire

Avete entrambi ragione ;)
Chrome non è immune ai bug, però la sandbox interna impedisce agli hacker di poterli sfruttare facilmente, e senza poter costruire un exploit la presenza del bug è irrilevante.
Chrome è stato lasciato da parte proprio perchè nessuno ha ancora capito come "sfondare" la sandbox.

@ Pikazul o forse google ha sborsato qualcosa per lasciarlo intatto... l'unica cosa che mi infastidisce è che non danno esempio di cosa possono fare, "prendono controllo della macchina ..." cioè cosa possono fare o non, una volta attaccato il sistema operativo, esempi concreti
"Salvo Google Chrome, che per ora non ha subito ancora nessun tentativo di attacco." ma per favore, sti hacker cioè hanno bucato tutti i browser possibili meno questo, ma quanto marketing c'è nel mezzo...

C'è solo da inchinarsi alla potenza di queste persone (gli hackers)!!
Sfruttare le loro capacità e conoscenze per risolvere gli innumerevoli problemi di internet porterà sicuramente a vantaggi per noi poveri utenti!!

Di problemi architetturali internet ne ha sin dalla nascita... alcuni protocolli non sono stati pensati con in mente la sicurezza e questo si traduce in possibili pericoli (IPv4, DNS...).

In questo caso comunque Internet di per se c'entra poco, qui di parla di bug relativi alle applicazioni.

Il problema maggiore IMHO è il phishing oggi come oggi, e l'unico modo per aiutare i poveri utenti è fare una massiccia campagna di informazione.

Cmq apparte ciò, Google Chrome sotto Windows si installa nella cartella %AppData% se non vado errato, sarebbe da provare se uno script può modificare il suo eseguibile anche senza privilegi admin.

Cmq apparte ciò, Google Chrome dovrebbe essere installato nella cartella %AppData% se non vado errato, sarebbe da provare se uno script può modificare il suo eseguibile anche senza privilegi admin.

Non può ;)

Non è marketing, è che Google Chrome è scritto veramente bene ;)

@mindsoul

si vabeè, ora Google si mette a comprare tutte le compagnie di sicurezza informatica del globo per lasciar stare il suo browser e bucare firefox (che finanzia sempre lui).
Che la sandbox sia un ottimo sistema per rendere sicuro il browser l'hanno ammesso tutti, anche la concorrenza, non c'è bisogno di immaginare teorie complottistiche solo perchè il proprio browser preferito non è stato il primo ad introdurre una novità. In futuro tutti i browser avranno una sandbox, e gli attacchi di questo tipo diventeranno molto più rari, ma per adesso che Chrome abbia una carta in più è sotto gli occhi di tutti.

A mio parere non è che abbiamo snobbato chrome o opera, solo che per la massa bue non sono tra i più noti attualmente :D

AHahaha adesso si comprano gli hacker... ma vi leggete? :rotfl:
Google Chrome è semplicemente il browser piu difficile da ownare a quanto pare per come è realizzato, non è IMPOSSIBILE ma nemmeno facile come è stato detto... e quindi ottimo lavoro di Google.. per gli altri NO COMMENT :asd:

A mio parere non è che abbiamo snobbato chrome o opera, solo che per la massa bue non sono tra i più noti attualmente :D

Ecco uno che ragiona! ;)

AHahaha adesso si comprano gli hacker... ma vi leggete? :rotfl:
Google Chrome è semplicemente il browser piu difficile da ownare a quanto pare per come è realizzato, non è IMPOSSIBILE ma nemmeno facile come è stato detto... e quindi ottimo lavoro di Google.. per gli altri NO COMMENT :asd:

Spararla un po' meno grossa no? :doh:
Se parli di autodichiarati "hacker-ini" ti do ragione ma se parli di hacker veri e propri allora ti sbagli.
Lo compri, lo assumi etc..... ci sono tanti modi....

Tanto di capello a Chrome e agli altri browser ma a Chrome la grafica meno orrenda la potevano anche fare! :p (opinione personale)

è incredibile quanto (anche in questo forum di persone "informate") non si conosca ancora bene la definizione di hacker....

AHahaha adesso si comprano gli hacker... ma vi leggete? :rotfl:
...

cosa c'è di male? Hacker non è la stessa cosa di Cracker....

Anche se non viene eseguito codice a livello di superutente forse dei problemi si possono creare lo stesso... ad esempio lanciare il calc.exe in nmila istanze.

ah ecco perchè non sono state trovate falle...
google ha promesso soldini a chi evita di provarci in pubblico :D :D :D

vabbè scherzi a parte, evitate di scrivere brava google
anche perchè ancora nessuno ci si è messo, vedrete che se qualcuno lo farà i buchi si troveranno.

abbasso chrome e la raccolta dati !!!!!!!!!!!!!!!!!!

@ Pikazul secondo te? come tanti si comparano review favorevoli online cosa pensi? cioè hanno bucato facilmente tutti i browser disponibili che anni dietro di esperienza nei problemi di sicurezza, chiaro non sono perfetti ma che chrome invulnerabile o difficile da bucare e solo marketing, visto che non portano niente di innovativo, che è veloce è grazie al webkit non a loro di sicuro, cioè tutti i browser giù in un giorno e questo qua non hanno neanche provato, almeno non dovevano nominarlo, non credete? come non hanno nominato opera visto che ha un market share scarso, ma va...

Di problemi architetturali internet ne ha sin dalla nascita... alcuni protocolli non sono stati pensati con in mente la sicurezza e questo si traduce in possibili pericoli (IPv4, DNS...).

In questo caso comunque Internet di per se c'entra poco, qui di parla di bug relativi alle applicazioni.

Il problema maggiore IMHO è il phishing oggi come oggi, e l'unico modo per aiutare i poveri utenti è fare una massiccia campagna di informazione.

Cmq apparte ciò, Google Chrome sotto Windows si installa nella cartella %AppData% se non vado errato, sarebbe da provare se uno script può modificare il suo eseguibile anche senza privilegi admin.

l'eseguibile di chrome sta in
C:\Users\<username>\AppData\Local\Google\Chrome\Application

e, ho appena controllato, l'utente <username> ne ha il pieno controllo
(come è di default per file nella home dell'utente immagino)

quindi immagino che se posso eseguire come <username> del codice che vada a patchare chrome.exe il file venga effettivamente modificato senza blocchi da parte dello uac

tuttavia credo che il contesto della competizione in oggetto sia che bisogna fregare il browser e poi il sistema sfruttando una vulnerabilità del browser stesso per prima cosa, temo che avere la possibilità di eseguire codice malevolo in un processo che non fa parte del browser per poi attaccare il browser stesso non valga :p (a meno che, di nuovo, tale possibilità non la si sia ottenuta tramite lo sfruttamento di una vulnerabilità del browser, credo :D )

eh si che nell'articolo c'è pure scritto che Chrome tenteranno di bucarlo ma lo reputano il più difficile da violare....

possibile che riuscite solo a fare polemiche inutili, la sandbox di Chrome funziona alla grande, fatevene una ragione!

mi piacciono i complottisti!!! si fanno venire il tumore al fegato per ste cose :asd:

hanno scritto appunto che ci vogliono provare ancor di più adesso, poi penso che a questi hacker piacciano le sfide dure :p

@ Pikazul o forse google ha sborsato qualcosa per lasciarlo intatto... l'unica cosa che mi infastidisce è che non danno esempio di cosa possono fare, "prendono controllo della macchina ..." cioè cosa possono fare o non, una volta attaccato il sistema operativo, esempi concreti
"Salvo Google Chrome, che per ora non ha subito ancora nessun tentativo di attacco." ma per favore, sti hacker cioè hanno bucato tutti i browser possibili meno questo, ma quanto marketing c'è nel mezzo...

Da http://attivissimo.blogspot.com/2010/03/mac-iphone-windows-7-ie8-bucati-in.html :

Firefox 3 su Windows 7 non se l'è cavata meglio: Nils, della britannica MWR Infosecurity, è riuscito a scardinarne le difese, dimostrando di aver preso possesso del computer facendogli eseguire la Calcolatrice.

Ti basta come prova avviare un qualsiasi eseguibile da remoto? :D

eh si che nell'articolo c'è pure scritto che Chrome tenteranno di bucarlo ma lo reputano il più difficile da violare....

possibile che riuscite solo a fare polemiche inutili, la sandbox di Chrome funziona alla grande, fatevene una ragione!

Sopratutto Chrome è l'ultimo ad essere stato pensato e scritto, quindi fa tesoro di tutti gli errori altrui e dell'evoluzione delle architetture e della programmazione..... niente codice legacy, niente retrocompatibilità.... mica poco! :)

@Bison
in realtà quale eseguibile viene lanciato ha una rilevanza in quanto calc lo può eseguire un qualsiasi utente, scandisk, ad esempio, solo un admin. In ogni caso come hanno fatto notare eseguire più istanze dello stesso software potrebbe comunque essere fastidioso.

Non è vero che gli hacker hanno snobbato Opera, sono gli organizzatori che l'hanno fatto; la notizia dice infatti che i browser che sono stati messi a disposizione degli sfidanti erano 4 (Safari, Ie, FF e Chrome).

Rispetto alla scorso anno mi pare abbiano aggiunto Chrome mentre Opera resta sempre fuori (se non ricordo male anche l'anno scorso avevano usato sia ie8 che 7, ovviamente entrambi in versione RC dato che la RTM non era ancora uscita).

In ogni caso è triste vedere quanto facilmente si possa compromettere un sistema informatico :(

Sì ma: Windows 7 in default è come se UAC non fosse attivato!

@ Pikazul secondo te? come tanti si comparano review favorevoli online cosa pensi? cioè hanno bucato facilmente tutti i browser disponibili che anni dietro di esperienza nei problemi di sicurezza, chiaro non sono perfetti ma che chrome invulnerabile o difficile da bucare e solo marketing, visto che non portano niente di innovativo, che è veloce è grazie al webkit non a loro di sicuro, cioè tutti i browser giù in un giorno e questo qua non hanno neanche provato, almeno non dovevano nominarlo, non credete? come non hanno nominato opera visto che ha un market share scarso, ma va...


A parte che le recensioni "vendute" mi sono sempre sapute di palla colossale, qui non si sta parlando di UNA persona che non c'è riuscita, parliamo di comprare tutte le società di sicurezza del globo per evitare che anche uno ci riesca, è completamente diverso. A meno che tu non pensi che ci sia qualcuno che si compri tutti i siti di informatica del mondo per avere recensioni positive :D

Per quanto riguarda la velocità di Chrome, non sai neppure di cosa stai parlando e si vede dall'astio nel tuo messaggio che evidentemente hai qualcosa contro Google. Ciò che rende Chrome veloce non è Webkit, che di certo aiuta ma non è fondamentale, ma è il motore javascript sviluppato in proprio. Il rendering dell'html non è così pesante, ma il javascript può cominciare a dare seri problemi se le prestazioni non sono all'altezza.

Poi non capisco perchè ti ostini a non credere che sia possibile bucare un browser, la stessa mozilla ha rilasciato una patch speciale due giorni fa per coprire un bug che sapevano avrebbe potuto essere usto al pwn2own, è così impensabile che ce ne fosse un'altro? Chi te lo dice che "chrome non porta niente di innovativo"? Sembra una posizione per partito preso, onestamente.

L'esclusione di opera dal concorso non me la spiego neanche io onestamente, probabilmente una questione di popolarità. Chrome non ha molto più market share ma è marchiato google e questo l'ha reso quantomeno famoso, opera evidentemente mantiene ancora l'immagine del browser di nicchia. Spero che grazie al ballot screen avremo la possibilità di vederla in gara l'anno prossimo.



PS: Gli hacker da film anni 80, gli smanettoni anarcoidi che combattono contro il potere per la libertà delle informazioni e il diritto della conoscenza non esistono più :doh: Oggi le persone in grado di aggirare sistemi di sicurezza appartengono a due categorie:
A) Quelli che lavorano per aziende il cui scopo è commettere illeciti
B) quelli che lavorano per aziende il cui scopo è evitare che siano commessi illeciti
A questo concorso hanno partecipato un buon numero di esperti del settore B

Sì ma: Windows 7 in default è come se UAC non fosse attivato!

:eek: non bestemmiare! :eek:

troppo divertente leggere i fanboy che si atteggiano a "contro il sistema" e accusano google di aver comprato il mondo intero per far passare il suo browser come migliore.

ma per favore.

@ Pikazul evidente che sei tu che non sai cosa stai parlando, lavoro come webdesigner & developer e so benissimo come funziona un browser e come si ottimizza un sito al massimo nel client side per velocizzare il caricamento e java script rappresenta una minima parte, i siti web sono composti da più elementi non solamente javascript, non è che chrome è più veloce solamente perché ha il motore js migliore (se è cosi), dipende anche da quante richieste http può fare un browser contemporaneamente e cosi via, non ha senso dare mille esempi sul perché certi browser sono più veloci e altri meno, di sicuro il problema nel caricamento riguarda la parte client side, molto meno server side, e js rappresenta solo una parte del problema.

se questi sono risultati
1. Vincenzo Iozzo, Ralf Philipp Weinmann – iPhone
2. Charlie Miller – Safari
3. Nils – Safari
4. Peter Vreugdenhil – Internet Explorer 8
5. MemACCT – Internet Explorer 8
6. Anonymous – Nokia
7. Anonymous – iPhone
8, Nils – Firefox.
quanti ne hanno partecipato in tutto? 100? 500?
ogni hacker ha scelto il browser dove ha scoperto il buco di sicurezza per assicurarsi il premio tutto qui, se nessuno nella lista qui sopra non ha fatto abbastanza ricerche per trovare falle nel chrome non lo fa assolutamente più sicuro, come fai tu a sapere quanto tempo hanno dedicato a ogni browser in gara? e se google voleva di sicuro poteva pagare quelli in gara di non perdere tempo con il suo browser , ma questa è solamente un ipotesi, non un fatto

chrome ha tanti di quei bug con flash player che la metà basta.io sfrutterei quelli per bucarlo ( sempre se si può )

@ gpat e intel come ha fatto che ha comprato tutta la rete di distribuzione che ne hanno venduti computer solo intel inside per anni?

leggi la news non solo i commenti c'è scritto chiaro, negro si bianco "L'unica persona che sembra voler tentare l'impresa sul browser di Google è Charlie Miller, il quale ha però voluto mettere subito le cose in chiaro: "Ci sono diversi bug in Chrome, ma sono difficili da sfruttare. Al momento conosco una falla, ma non ho idea di come poterla sfruttare. E' davvero dura"."
cioè una solo persona ha tentato, cosa vuol dire questo? che nessuno non ha provato quindi smettila di scrivere cazzate,
io ho 4 browser installati sul computer per compiti diversi, test e cosi via... quindi commenta la news non dare titoli gratis "fanboy" ai lettori, che ormai la considero una cosa offensiva, spam

Ma io su Tom ho letto invece che Google Chrome e' stato "testato" ma e' sopravvissuto al primo giorno... Non che non l'hanno ca*ato di striscio come c'e' scritto qui (in un modo piu' umano)...

Ma...a dire il vero, secondo un'altra fonte dalla quale ho potuto leggere la notizia, tra l'altro due giorni fà, DEP e ASLR sono stati violati in IE8 non in FF....infatti per attaccare ie8 hanno dovuto eseguire 4 attacchi contemporaneamente per aggirare le difese del browser...con gli altri è bastato un solo attacco...il primo a cadere è stato Safari, IE subito dopo, Firefox anche e Chrome invece, non è stato provato da nessuno dei partecipanti alla gara...cosa abbastanza strana, non erano nemmeno pochi...non capisco proprio perchè sia stato snobbato, ok la difficoltà, posso capire...ma con tutti i partecipanti, è realmente possibile che nessuno abbia minimamente pensato di provare? non credo...

soldini della google...lampante come cosa...che non ci abbiano nemmeno provato puzza lontano un miglio..come del resto puzzano pure ste "sfide"

per ora contento di avere chrome :)

:asd: mi dici come stampi una pagina web? :asd:

La quantità di commenti fuori dal mondo che si legge in notizie come questa è disarmante.

Per tutti quelli che si stupiscono o addirittura si insospettiscono perché Chrome non l'hanno nemmeno preso di mira... Avete mai provato ad arrivare al giorno di un esame universitario rendendovi conto che non sapete NIENTE? Cosa fate, vi presentate per consegnare in bianco (o fare scenta muta, se è un orale), con annessa figura di merda, o magari preferite non presentarvi? Se nessuno aveva un'idea di come fare ad attaccare Chrome, cosa avrebbero dovuto fare? Provarci lo stesso, sperando di avere in pochi minuti un'illuminazione che non è venuta in parecchi mesi? Guardate che lì al pwn2own non si fa nulla di "nuovo", il lavoro è stato preparato prima, e richiede mesi di fatica! Se uno non ha in mano niente, cosa dovrebbe fare? Andare a fare presenza?

Google corrompe tutti i ricercatori del mondo... Chrome non ha nulla di innovativo, è veloce ma è solo merito di Webkit e non c'è nulla di suo... Manca solo di sentire che Cicciolina è vergine...

Io consiglierei a tutti la lettura di questo articolo, di Appunti Digitali, curato da Alberto Trivero, che ora purtroppo non scrive più: http://www.appuntidigitali.it/3519/ie8-firefox-e-safari-ko-in-pochi-minuti-cose-successo-al-pwn2own/
Si rifereisce al pwn2own dell'anno scorso, ma certe cose sono valide comunque.

Poi direi che si può leggere un'intervista a Charlie Miller fatta un mesetto fa:
http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/#comment-5276

Copio qualche frase:
"Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?"
"Windows 7 is slightly more difficult"

"In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?"
"No, Linux is no harder, in fact probably easier"

"In your opinion, which is the safer combination OS+browser to use?"
"That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed."

Giusto per sfatare qualche luogo comune. Se lo dice uno che ha vinto per 3 anni di fila e che è stato il primo a crackare sia iPhone che Android ci credete, o è un ignorante che non sa di cosa parla?


Prima o poi Chrome verrà bucato, è inevitabile. Ma la sua architettura sta dando prova di essere più sicura delle altre. Non si può essere perfetti, ma migliori sì, e Chrome ci sta riuscendo. Ma è così traumatico ammetterlo?

La quantità di commenti fuori dal mondo che si legge in notizie come questa è disarmante.

Per tutti quelli che si stupiscono o addirittura si insospettiscono perché Chrome non l'hanno nemmeno preso di mira... Avete mai provato ad arrivare al giorno di un esame universitario rendendovi conto che non sapete NIENTE? Cosa fate, vi presentate per consegnare in bianco (o fare scenta muta, se è un orale), con annessa figura di merda, o magari preferite non presentarvi? Se nessuno aveva un'idea di come fare ad attaccare Chrome, cosa avrebbero dovuto fare? Provarci lo stesso, sperando di avere in pochi minuti un'illuminazione che non è venuta in parecchi mesi? Guardate che lì al pwn2own non si fa nulla di "nuovo", il lavoro è stato preparato prima, e richiede mesi di fatica! Se uno non ha in mano niente, cosa dovrebbe fare? Andare a fare presenza?

Google corrompe tutti i ricercatori del mondo... Chrome non ha nulla di innovativo, è veloce ma è solo merito di Webkit e non c'è nulla di suo... Manca solo di sentire che Cicciolina è vergine...

Io consiglierei a tutti la lettura di questo articolo, di Appunti Digitali, curato da Alberto Trivero, che ora purtroppo non scrive più: http://www.appuntidigitali.it/3519/ie8-firefox-e-safari-ko-in-pochi-minuti-cose-successo-al-pwn2own/
Si rifereisce al pwn2own dell'anno scorso, ma certe cose sono valide comunque.

Poi direi che si può leggere un'intervista a Charlie Miller fatta un mesetto fa:
http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/#comment-5276

Copio qualche frase:
"Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?"
"Windows 7 is slightly more difficult"

"In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?"
"No, Linux is no harder, in fact probably easier"

"In your opinion, which is the safer combination OS+browser to use?"
"That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed."

Giusto per sfatare qualche luogo comune. Se lo dice uno che ha vinto per 3 anni di fila e che è stato il primo a crackare sia iPhone che Android ci credete, o è un ignorante che non sa di cosa parla?


Prima o poi Chrome verrà bucato, è inevitabile. Ma la sua architettura sta dando prova di essere più sicura delle altre. Non si può essere perfetti, ma migliori sì, e Chrome ci sta riuscendo. Ma è così traumatico ammetterlo?vedi che avevo ragione.chrome senza flash installato.con flash installato si buca benissimo a mio parere,dato che è da mesi che mi sono accorto dei bug che ha

IL FERRO E' MEGLIO DEL CROMO..
(d'altronde IRON MAN è fatto di ferro, no ? mica di CROMO :PPP)
=================================================

Per chi usa CHROME sappiate che esiste anche SRWare IRON..

http://www.srware.net/en/software_srware_iron_download.php

Link che spiegano perchè Iron è meglio di Chrome (e anche non fosse.. quantomeno è uguale :P)..

http://www.srware.net/en/software_srware_iron_chrome_vs_iron.php

http://www.srware.net/forum/viewtopic.php?f=18&t=1362&sid=a78a49074622243340086899bc0a8e0c

IL FERRO E' MEGLIO DEL CROMO..
(d'altronde IRON MAN è fatto di ferro, no ? mica di CROMO :PPP)
=================================================

Per chi usa CHROME sappiate che esiste anche SRWare IRON..

http://www.srware.net/en/software_srware_iron_download.php

Link che spiegano perchè Iron è meglio di Chrome (e anche non fosse.. quantomeno è uguale :P)..

http://www.srware.net/en/software_srware_iron_chrome_vs_iron.php

http://www.srware.net/forum/viewtopic.php?f=18&t=1362&sid=a78a49074622243340086899bc0a8e0clo conosco e lo uso a volte,ma anche lui come il fratello maggiore ha non pochi problemi con flashplayer

edit:
Tutti i software e i sistemi operativi sono stati aggiornati alle ultime release disponibili prima dell'inizio del contest.

..quindi con firefox 3 aggiornata dovrebbe essere intesa la 3.0.19 di cui è stato annunciato che è finito il supporto...ora stiamo alla 3.6.2 e mi sembra che questa non sia stata testata!!


ho editato il primo messaggio perchè mi sembra di capire leggendo anche altre news che sia stata testata una versione di firefox (3.0.19)ormai dichiarata a fine ciclo di vita, infatti non ci saranno altri upgrade per il ramo 3.0

al contrario ora siamo sulla 3.6.x che è anche la più diffusa quindi non capisco perchè non hanno preso in considerazione la versione ed il ramo attuale...

@marco XP2400+

veramente leggendo in giro si dice che hanno usato di ogni sw la versione più aggioranta...FF3 è solo per il riferimento alla major release...
dovevano anke dare soldi per bucare una versione obsoleta del browser?

@marco XP2400+

veramente leggendo in giro si dice che hanno usato di ogni sw la versione più aggioranta...FF3 è solo per il riferimento alla major release...
dovevano anke dare soldi per bucare una versione obsoleta del browser?

non ho nessun problema a sbagliare!!!
mi confermi che ho interpretato io male??
tu hai trovato scritto pure 3.6???

avendo letto che avevano usato la versione aggiornata di firefox 3, ho subito pensata a 3.0.19,
poichè la 3.6 porta il 3 come numero iniziale ma è molto diversa dalla vecchia 3.0...
io ho sempre letto firefox3 ed ho interpretato male, giusto??

edit,edit:
estratto da altri articoli che ho trovato più precisi:
http://punto-informatico.it/2841144/PI/News/pwn2own-cadono-quasi-tutti.aspx

È riuscito ad aggiudicarsi la stessa cifra lo studente tedesco Nils (noto col solo nome di battesimo), il quale è stato capace di bucare Firefox 3 sotto Windows 7 x64 e, similmente a Vreugdenhil, ad evadere ASLR e DEP: grazie al suo exploit, Nils ha eseguito il programma calc.exe, dimostrando la capacità di lanciare un qualsiasi comando di Windows. Al momento non è chiaro se l'exploit di Nils funzioni anche con le più recenti versioni 3.x di Firefox, quali la 3.5 e la 3.6.

http://www.webnews.it/news/leggi/12650/iphone-ie-firefox-e-safari-pwned/
Nils ha tirato in ballo Firefox prendendo pieno controllo del sistema tramite "memory corruption vulnerability" (nella prova è stato utilizzato, come da regolamento, Firefox 3 invece dell'ultimo Firefox 3.6.2). Anche in questo caso sono state aggirate le tecnologie ASLR e DEP, qualcosa su cui Microsoft promette immediate indagini e per le quali non si segnala al momento alcun attacco in corso.

Sì ma: Windows 7 in default è come se UAC non fosse attivato!

A prescindere da questo, se un file si trova nella cartella del profilo utente CORRENTE, può essere modificato senza problemi.

Questa non è una cosa di poco conto. UAC è pensato per proteggere il sistema, non l'utente.

La stessa cosa vale anche in altri SO, tant'è che se lanciate uno script bash che cancelli il contenuto della vostra home, nessuno ve lo impedisce.

Non a caso il problema si sposta nella sfera del social engineering, nulla vieta ad un programma di iniettare codice in un altro programma con gli stessi privilegi (a meno di HIPS presumo).

Ma quanti hanno un HIPS in SO non-Windows? :asd:

non ho nessun problema a sbagliare!!!
mi confermi che ho interpretato io male??
tu hai trovato scritto pure 3.6???

avendo letto che avevano usato la versione aggiornata di firefox 3, ho subito pensata a 3.0.19,
poichè la 3.6 porta il 3 come numero iniziale ma è molto diversa dalla vecchia 3.0...
io ho sempre letto firefox3 ed ho interpretato male, giusto??

edit,edit:
estratto da altri articoli che ho trovato più precisi:
http://punto-informatico.it/2841144/PI/News/pwn2own-cadono-quasi-tutti.aspx


http://www.webnews.it/news/leggi/12650/iphone-ie-firefox-e-safari-pwned/

è tutto strano..perchè come ti dicevo in giro si trova anke che hanno usato la 3.6.2 come qui http://www.crn.com/security/224200370;jsessionid=UFNBMH32YKA3VQE1GHPCKHWATMY32JVN e qui http://www.pcmag.com/article2/0,2817,2361810,00.asp

poi boh...ma dare soldi per bucare una versione obsoleta mi pare strano...

:asd: mi dici come stampi una pagina web? :asd:CTRL+P?