c.m.g
09-03-2013, 08:46
venerdì 8 marzo 2013
Mezzo milione di dollari di premi agli hacker che hanno fatto fuori Chrome, IE e tutti gli ammennicoli Java e Flash. Se la cava solo Chrome OS
Roma - Anche il Pwn2Own (http://punto-informatico.it/cerca.aspx?s=pwn2own&t=4&o=0) di quest'anno ha messo in luce la sostanziale parità dei browser più popolari in fatto di (in)sicurezza: usando tecniche sofisticate e mettendo assieme vari tipi di attacchi, gli hacker hanno "buttato giù" Chrome, IE 10, Firefox e gli altri, senza naturalmente dimenticare gli onnipresenti plugin Java (http://punto-informatico.it/3737138/PI/News/java-certificati-senza-certificazione.aspx) e Flash.
In totale, l'edizione 2013 del "contest di hacking" organizzato nell'ambito della conferenza CanSecWest di Vancouver ha fruttato circa mezzo milione di dollari ai partecipanti: a sponsorizzare l'evento con i fondi necessari è stata Hewlett-Packard, la maggior produttrice al mondo di PC.
Uno degli attacchi di maggior pregio (che è valso il premio di 100mila dollari) è stato quello condotto dalla francese Vupen Security contro Internet Explorer 10 su tablet Surface Pro (http://arstechnica.com/security/2013/03/pwn2own-takes-down-ie-10-running-on-a-surface-pro/): gli esperti transalpini sono riusciti a bypassare la sandbox del browser e tutte le misure di sicurezza aggiuntive di Windows introdotte da Microsoft negli ultimi anni, impiegando due falle 0-day precedentemente sconosciute e ottenendo il pieno controllo del sistema.
Di non minore valore (altri 100.000 dollari) è stato giudicato l'attacco condotto contro Google Chrome 25 su Windows 7: anche in questo caso i ricercatori si sono serviti di falle 0-day per bypassare la sandbox, ottenendo il permesso di eseguire codice malevolo sul sistema locale (a partire da un sito con il codice dell'exploit) anche grazie a una vulnerabilità scovata all'interno del kernel di Windows.
Tutte le principali tecnologie di rete sono cadute vittima della "hackfesta" canadese, mentre Google può continuare a ritenersi soddisfatta (http://www.theregister.co.uk/2013/03/08/pwn2own_contest_cansecwest/) della robustezza del suo OS tra le nuvole Chrome OS: il sistema web-centrico di Mountain View ha un contest tutto suo (Pwnium 3) e un premio in denaro di ben 3 milioni di dollari, ma anche stavolta nessuno è riuscito a conquistarlo bucando i meccanismi di sicurezza del browser-OS.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3737604/PI/News/pwn2own-browser-tutti-i-buchi.aspx)
Mezzo milione di dollari di premi agli hacker che hanno fatto fuori Chrome, IE e tutti gli ammennicoli Java e Flash. Se la cava solo Chrome OS
Roma - Anche il Pwn2Own (http://punto-informatico.it/cerca.aspx?s=pwn2own&t=4&o=0) di quest'anno ha messo in luce la sostanziale parità dei browser più popolari in fatto di (in)sicurezza: usando tecniche sofisticate e mettendo assieme vari tipi di attacchi, gli hacker hanno "buttato giù" Chrome, IE 10, Firefox e gli altri, senza naturalmente dimenticare gli onnipresenti plugin Java (http://punto-informatico.it/3737138/PI/News/java-certificati-senza-certificazione.aspx) e Flash.
In totale, l'edizione 2013 del "contest di hacking" organizzato nell'ambito della conferenza CanSecWest di Vancouver ha fruttato circa mezzo milione di dollari ai partecipanti: a sponsorizzare l'evento con i fondi necessari è stata Hewlett-Packard, la maggior produttrice al mondo di PC.
Uno degli attacchi di maggior pregio (che è valso il premio di 100mila dollari) è stato quello condotto dalla francese Vupen Security contro Internet Explorer 10 su tablet Surface Pro (http://arstechnica.com/security/2013/03/pwn2own-takes-down-ie-10-running-on-a-surface-pro/): gli esperti transalpini sono riusciti a bypassare la sandbox del browser e tutte le misure di sicurezza aggiuntive di Windows introdotte da Microsoft negli ultimi anni, impiegando due falle 0-day precedentemente sconosciute e ottenendo il pieno controllo del sistema.
Di non minore valore (altri 100.000 dollari) è stato giudicato l'attacco condotto contro Google Chrome 25 su Windows 7: anche in questo caso i ricercatori si sono serviti di falle 0-day per bypassare la sandbox, ottenendo il permesso di eseguire codice malevolo sul sistema locale (a partire da un sito con il codice dell'exploit) anche grazie a una vulnerabilità scovata all'interno del kernel di Windows.
Tutte le principali tecnologie di rete sono cadute vittima della "hackfesta" canadese, mentre Google può continuare a ritenersi soddisfatta (http://www.theregister.co.uk/2013/03/08/pwn2own_contest_cansecwest/) della robustezza del suo OS tra le nuvole Chrome OS: il sistema web-centrico di Mountain View ha un contest tutto suo (Pwnium 3) e un premio in denaro di ben 3 milioni di dollari, ma anche stavolta nessuno è riuscito a conquistarlo bucando i meccanismi di sicurezza del browser-OS.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3737604/PI/News/pwn2own-browser-tutti-i-buchi.aspx)