|
|||||||
|
|
|
 |
|
|
Strumenti |
10-03-2011, 12:34
|
#1 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
[NEWS] Pwn2Own 2011: Safari su MacBook il primo ad essere violato
pubblicato da claudiasantini giovedì 10 marzo 2011
 Oggi cade un mito sulla proverbiale sicurezza del browser Safari. Una squadra di ricercatori ha effettuato con successo l’exploit del browser Apple sfruttando una falla e vincendo il concorso per hacker Pwn2Own. Chaouki Bekrar, a capo del team, è infatti riuscito ad indirizzare un MacBook ad un sito web appositamente creato e ha lanciato con successo un calcolatore sulla macchina compromessa. Sulla macchina oggetto di hijack girava una versione aggiornata e completa di patch di Mac OS X (64-bit). Bekrar ha rivelato come il suo successo sia da attribuire ad una vulnerabilità in WebKit, il motore di rendering open-source utilizzato in Safari. La squadra di ricercatori ha impiegato circa due settimane per scoprire la vulnerabilità e creare un exploit funzionante, vincendo un premio da 15.000 dollari e un Apple MacBook Air 13″ con sistema operativo Mac OS X Snow Leopard. Secondo Bekrar, riuscire a violare Safari è stato abbastanza difficile a causa della mancanza di documentazione sull’exploit per Mac OS X da 64.bit. Il team ha dovuto crearsi tutto dal nulla, a partire dal tool di debugging, per poi passare alla shellcode e alla tecnica di ROP (return oriented programming). Senza documentazione precedente a disposizione, ci è voluto più tempo del previsto per creare l’exploit, mentre trovare la vulnerabilità è stato relativamente più semplice poichè in WebKit ve ne sono molte. L’exploit creato da Bekrar ha richiesto circa cinque secondi di navigazione sul sito apposito: da quel momento è stato in grado di lanciare l’applicazione calcolatrice e scrivere un file sul disco senza nemmeno mandare in crash il browser. La violazione funziona aggirando l’ASLR (Address Space Layout Randomization) e il DEP (Data Execution Prevention), due chiavi anti exploit integrate in OS X; è sufficiente che la vittima visiti una pagina Web, anche senza interagirvi. La prossima “vittima” designata del team sarà Internet Explorer 8 su Windows 7 (SP1) 64-bit. Fonte: DownloadBlog Via | ZDnet
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
11-03-2011, 09:12
|
#2 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
Pwn2Own 2011, primo round: caduti Safari e IE8 su punto informatico
Pwn2Own 2011, Safari è il primo a cadere su webnews Pwn2own, giorno 2: tocca agli smartphone su punto informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 12-03-2011 alle 09:06. |
|
|
|
|
11-03-2011, 09:15
|
#3 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
correlate:
BROWSER: IE, Safari, Firefox, aggiornamenti in vista su punto informatico Apple, poker di aggiornamenti in arrivo su webnews WINDOWS PHONE: Update posticipato su punto informatico Chrome, rilasciata la versione 10 su punto informatico Pwn2own 2011, fine della sfida su punto informatico BlackBerry, RIM invita a disabilitare JavaScript su webnews
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 18-03-2011 alle 09:48. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 18:08.
