Al Pwn2Own cadono tutti i browser, ma è Internet Explorer ad avere la peggio

Redazione di Hardware Upg · 23-03-2015, 08:26

Link alla notizia: http://www.hwupgrade.it/news/sicurez...gio_56548.html

Durante la scorsa settimana si è tenuto il Pwn2Own, la manifestazione organizzata per scoprire e correggere le vulnerabilità dei vari browser

Click sul link per visualizzare la notizia.

s0nnyd3marco · 23-03-2015, 08:29

Direi nulla di nuovo sotto il sole.

TheQ. · 23-03-2015, 08:37

Insomma, IE è lontano dal "We are Spartaaaaannnnn"

MikTaeTrioR · 23-03-2015, 08:44

eh si...è proprio un pessimo browser chrome...

palleggiatore · 23-03-2015, 09:02

Meglio SRWare Iron

^Alex^ · 23-03-2015, 09:35

Quando la gente capirà che questi Pwn2Own lasciano il tempo che trovano sarà sempre troppo tardi.
Se ne fai uno al mese, ogni mese cadrebbe un Browser diverso.
Inoltre, molti non considerano il fatto che quelli che vanno al Pwn2Own, non vanno per fare la gitarella scolastica ma per vincere i premi che mettono in palio.
E per farlo passano giorno e notte a scoprire falle.
Chi cade prima in questo contesto ha ben poco senso, mi piacerebbe sapere invece quanti mesi impiegano per trovare le falle che poi portano al Pwn2Own.
Anche io apro una cassaforte in 2 minuti, grazie al casso....Dopo aver passato mesi a scoprirne i punti deboli però!

s0nnyd3marco · 23-03-2015, 09:53

Quote:

Originariamente inviato da Bivvoz

Non capisco perchè se sono riusciti a bucare tutti i browser allora chrome è più sicuro degli altri.

Secondo me perchè ormai è prassi che Google è il princope azzurro, MS è la matrigna cattiva e Firefox poverina è la cenerentola del gruppo, brava ma povera e con le pezze.

Infatti: il zero day di chrome permetteva di ottenere i privilegi di SYSTEM e non dell'utente, come riportato qui.

Per questo ho detto nulla di nuovo sotto il sole.

koni · 23-03-2015, 09:56

come sempre il numero delle vulnerabilità scoperte è proporzionale al cash in gioco :P
l'anno scorso IE ne era uscito quasi indenne dato che M$ aveva messo pochi soldi su p2o quest'anno con l'aumento dei fondi i bus si sono visti
stessa cosa per chrome dato che Google finanzia sistemi alternativi per comunicare i bug del proprio browser

AleLinuxBSD · 23-03-2015, 10:10

Quote:

Originariamente inviato da palleggiatore

Meglio SRWare Iron

Condivido dato che cercano di tutelare un po' meglio la privacy dell'utente.
Però purtroppo ho notato che al livello di compatibilità con Linux restano un po' indietro tanto che alla fine ho dovuto installarmi google chromium, più fare qualche acrobazia per disporre del supporto per flash che, sfortunatamente, continua ad essere richiesto in alcuni siti.
Alla fine penso che faccio prima a mettermi google chrome, tanto la differenza con chromium, non è rilevante.

vkmi · 23-03-2015, 10:10

Si sa niente di Opera invece? O essendo adesso anche Opera su Webkit conta come Chrome?

s0nnyd3marco · 23-03-2015, 10:12

Quote:

Originariamente inviato da Bivvoz

Non ho capito cosa intendi, comunque c'è scritto che hanno ricevuto un extra di 25k$ per aver ottenuto anche i privilegi si system, da nessuna parte c'è scritto che non hanno ottenuto quelli di user, anzi sembra scontato che quelli siano la base.

Anzi se vogliamo dirla tutta c'è scritto che IE è stato possibile bucarlo ancora una volta tramite Java

Mi sono espresso male: intendevo anche i privilegi di system e non solo i privilegi dell'utente.

AleLinuxBSD · 23-03-2015, 10:33

Quote:

Originariamente inviato da vkmi

Si sa niente di Opera invece? O essendo adesso anche Opera su Webkit conta come Chrome?

Non penso perché la maggiore sicurezza dell'implementazione di Google del suo browser deriva dall'uso delle sandbox che non fà parte dello standard Webkit.
WebKit2 invece dispone della gestione separata dei processi, al livello di standard, però non mi sono informato sull'argomento per capire se sia stato adottato da qualche browser.
Per qualche tempo avevo provato pure Opera, ma dato che lato Linux lo sviluppo della versione a 32bit è stato fermato, ho perso interesse.

Nui_Mg · 23-03-2015, 10:58

Quote:

Originariamente inviato da palleggiatore

Meglio SRWare Iron

Direi proprio di no e te lo dice uno dei primissimi ad averlo usato (il tipo è un imbroglione non da poco; ti conviene ben di più usare i Chromium non nightly).

Nui_Mg · 23-03-2015, 11:05

Quote:

Originariamente inviato da Bivvoz

Non capisco perchè se sono riusciti a bucare tutti i browser allora chrome è più sicuro degli altri.

Perché è quello che quando è bucato, lo è in maniera nettamente più moderata di tutti gli altri e altre volte lo è per colpa più della piattaforma windows stessa (vedi il crollo di IE11 l'anno scorso per via di ASLR e DEP) sulla quale gira chrome per windows.
Non è un'opinione, chrome è oggettivamente più sicuro degli altri browser, vedi pure gli ultimi guai di flash che hanno inguaiato i vari browser ma molto meno i Chrome per via del loro flash con api ppapi e non npapi (firefox, maxthon, ecc.) e activex per IE.

s0nnyd3marco · 23-03-2015, 11:06

Quote:

Originariamente inviato da Nui_Mg

Direi proprio di no e te lo dice uno dei primissimi ad averlo usato (il tipo è un imbroglione non da poco; ti conviene ben di più usare i Chromium non nightly).

Posso chiedere perche'? (Non ho mai usato SRWare Iron ne mi sono mai informato)

Nui_Mg · 23-03-2015, 11:09

Quote:

Originariamente inviato da emiliano84

non coscevo qusto SRWare Iron... in che senso il tipo e' un'imbroglione?

Iron non è altro che un clone di Chromium (così come Chrome ufficiale, Dragon, ecc.): imbroglione perché l'autore è stato loggato in una chat che parlava di averlo creato solo per crearsi introiti da ad da vari link (soprattutto la versione installabile), oltre al fatto che i link ai sorgenti sono solo fuffa, non puntano a niente.

Nui_Mg · 23-03-2015, 11:16

Quote:

Originariamente inviato da ^Alex^

Quando la gente capirà che questi Pwn2Own lasciano il tempo che trovano sarà sempre troppo tardi.

Quando la gente niubba capirà che tali contest sono perfetti per mettere alla prova su strada, e non con dichiarazioni per fantonti di questo o quell'altro browser, la reale sicurezza di un browser, sarà sempre troppo tardi.
Quando un browser è stato sconfitto, in questo o in quell'altro aspetto, è un dato di fatto, punto! Chissenefrega se l'eventuale exploit non è stato magari reso pubblico (per essere sfruttato dai wannabe) oppure non è facilmente farlo saltare fuori durante un uso normale? Il fatto è che si è riusciti là dove vi era la sfida nel farlo e i premi in denaro sono un ottimo sistema. Nel caso di Windows, varie volte le rogne più grandi sono arrivate più dal sistema che da IE11 stesso.

Nui_Mg · 23-03-2015, 11:20

Quote:

Originariamente inviato da emiliano84

questo era molto interessante
http://secunia.com/resources/vulnera...wser-security/

Un link che dice molto meno e approssimativamente quello che invece dicono le specifiche pagine wiki di Pwn2Own, dove si va nei dettagli e chiarisce, nei vari anni, quanto sia la gravità di questo o quell'altro exploit (dove si leggerà anche che a volte quelle pochissime bucate di chrome dipendono molto poco da lui ma quanto il sistema windows sottostante).

Nui_Mg · 23-03-2015, 11:27

E, anche quest'anno, si è verificato quello che dicevo prima:

--------------------------------------
Overall, Brian Gorenc, manager of vulnerability research for HP Security Research, said that one of the surprises at the Pwn2Own 2015 event was the amount of Windows kernel vulnerabilities that showed up, though he noted that HP, in a way, expected it.
--------------------------------------

Nui_Mg · 23-03-2015, 11:30

Riassunto:

The final numbers for Pwn2Own 2015 are quite impressive:
5 bugs in the Windows operating system
4 bugs in Internet Explorer 11
3 bugs in Mozilla Firefox
3 bugs in Adobe Reader
3 bugs in Adobe Flash
2 bugs in Apple Safari
1 bug in Google Chrome

23-03-2015, 08:29	#2
s0nnyd3marco Senior Member Iscritto dal: Aug 2006 Città: Trieste Messaggi: 5447	Direi nulla di nuovo sotto il sole. __________________ You should never let your fears become the boundaries of your dreams.

23-03-2015, 09:35	#6
^Alex^ Bannato Iscritto dal: Jan 2015 Messaggi: 1024	Quando la gente capirà che questi Pwn2Own lasciano il tempo che trovano sarà sempre troppo tardi. Se ne fai uno al mese, ogni mese cadrebbe un Browser diverso. Inoltre, molti non considerano il fatto che quelli che vanno al Pwn2Own, non vanno per fare la gitarella scolastica ma per vincere i premi che mettono in palio. E per farlo passano giorno e notte a scoprire falle. Chi cade prima in questo contesto ha ben poco senso, mi piacerebbe sapere invece quanti mesi impiegano per trovare le falle che poi portano al Pwn2Own. Anche io apro una cassaforte in 2 minuti, grazie al casso....Dopo aver passato mesi a scoprirne i punti deboli però! Ultima modifica di ^Alex^ : 23-03-2015 alle 09:41.

23-03-2015, 08:26	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link alla notizia: http://www.hwupgrade.it/news/sicurez...gio_56548.html Durante la scorsa settimana si è tenuto il Pwn2Own, la manifestazione organizzata per scoprire e correggere le vulnerabilità dei vari browser Click sul link per visualizzare la notizia.

23-03-2015, 08:37	#3
TheQ. Senior Member Iscritto dal: Mar 2011 Messaggi: 2764	Insomma, IE è lontano dal "We are Spartaaaaannnnn"

23-03-2015, 08:44	#4
MikTaeTrioR Senior Member Iscritto dal: Mar 2001 Messaggi: 5446	eh si...è proprio un pessimo browser chrome...

23-03-2015, 09:02	#5
palleggiatore Senior Member Iscritto dal: Oct 2012 Città: solit'udine in provincia Messaggi: 613	Meglio SRWare Iron

23-03-2015, 09:56	#8
koni Bannato Iscritto dal: Jun 2014 Messaggi: 393	come sempre il numero delle vulnerabilità scoperte è proporzionale al cash in gioco :P l'anno scorso IE ne era uscito quasi indenne dato che M$ aveva messo pochi soldi su p2o quest'anno con l'aumento dei fondi i bus si sono visti stessa cosa per chrome dato che Google finanzia sistemi alternativi per comunicare i bug del proprio browser

23-03-2015, 10:10	#10
vkmi Junior Member Iscritto dal: Jan 2015 Messaggi: 12	Si sa niente di Opera invece? O essendo adesso anche Opera su Webkit conta come Chrome?

23-03-2015, 11:27	#19
Nui_Mg Senior Member Iscritto dal: Jan 2007 Messaggi: 6595	E, anche quest'anno, si è verificato quello che dicevo prima: -------------------------------------- Overall, Brian Gorenc, manager of vulnerability research for HP Security Research, said that one of the surprises at the Pwn2Own 2015 event was the amount of Windows kernel vulnerabilities that showed up, though he noted that HP, in a way, expected it. --------------------------------------

23-03-2015, 11:30	#20
Nui_Mg Senior Member Iscritto dal: Jan 2007 Messaggi: 6595	Riassunto: The final numbers for Pwn2Own 2015 are quite impressive: 5 bugs in the Windows operating system 4 bugs in Internet Explorer 11 3 bugs in Mozilla Firefox 3 bugs in Adobe Reader 3 bugs in Adobe Flash 2 bugs in Apple Safari 1 bug in Google Chrome

Strumenti
Mostra una versione stampabile Invia questa pagina per email