Al Pwn2Own cadono tutti i browser, ma è Internet Explorer ad avere la peggio

Al Pwn2Own cadono tutti i browser, ma è Internet Explorer ad avere la peggio

Durante la scorsa settimana si è tenuto il Pwn2Own, la manifestazione organizzata per scoprire e correggere le vulnerabilità dei vari browser

di pubblicata il , alle 09:26 nel canale Sicurezza
GoogleMicrosoftHP
 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

58 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
emiliano8423 Marzo 2015, 11:00 #11
Originariamente inviato da: koni
come sempre il numero delle vulnerabilità scoperte è proporzionale al cash in gioco :P
l'anno scorso IE ne era uscito quasi indenne dato che M$ aveva messo pochi soldi su p2o quest'anno con l'aumento dei fondi i bus si sono visti
stessa cosa per chrome dato che Google finanzia sistemi alternativi per comunicare i bug del proprio browser


in realta' l'anno scorso il premio piu' alto era quello per ie11 con EMET, che non e' stato bucato

https://twitter.com/jmanici/status/444564554224533504



P.S.
internet explorer 11 senza EMET aveva lo stesso premio di chrome e FF, ed e' stato bucato (dopo di loro se non ricordo male)
AleLinuxBSD23 Marzo 2015, 11:10 #12
Originariamente inviato da: palleggiatore
Meglio SRWare Iron

Condivido dato che cercano di tutelare un po' meglio la privacy dell'utente.
Però purtroppo ho notato che al livello di compatibilità con Linux restano un po' indietro tanto che alla fine ho dovuto installarmi google chromium, più fare qualche acrobazia per disporre del supporto per flash che, sfortunatamente, continua ad essere richiesto in alcuni siti.
Alla fine penso che faccio prima a mettermi google chrome, tanto la differenza con chromium, non è rilevante.
vkmi23 Marzo 2015, 11:10 #13
Si sa niente di Opera invece? O essendo adesso anche Opera su Webkit conta come Chrome?
s0nnyd3marco23 Marzo 2015, 11:12 #14
Originariamente inviato da: Bivvoz
Non ho capito cosa intendi, comunque c'è scritto che hanno ricevuto un extra di 25k$ per aver ottenuto anche i privilegi si system, da nessuna parte c'è scritto che non hanno ottenuto quelli di user, anzi sembra scontato che quelli siano la base.

Anzi se vogliamo dirla tutta c'è scritto che IE è stato possibile bucarlo ancora una volta tramite Java


Mi sono espresso male: intendevo anche i privilegi di system e non solo i privilegi dell'utente.
emiliano8423 Marzo 2015, 11:14 #15
Originariamente inviato da: Bivvoz
Anzi se vogliamo dirla tutta c'è scritto che IE è stato possibile bucarlo ancora una volta tramite Java


Java e flash, per me, dovrebbero essere considerate "vulnerabilita' a parte"
emiliano8423 Marzo 2015, 11:25 #16
Originariamente inviato da: Bivvoz
Se guardi i premi che erano in palio trovi:



Comunque non è sbagliato considerarle vulnerabilità del browser, perchè se non sbaglio alcuni browser come appunto IE integrano particolari versioni proprio per questioni di sicurezza.
Però potrei aver detto una scemenza


quest anno ancora ho visto bene premi e risultati... sapete se ie11 con EMET e' stato abbattuto?

ie11 e chrome sicuramente hanno una versione di flash integrata nel browser che gira in una sandbox... per java mi pare di no (ma potrei sbagliarmi) ... non ho bisgno e non installo java da una vita
AleLinuxBSD23 Marzo 2015, 11:33 #17
Originariamente inviato da: vkmi
Si sa niente di Opera invece? O essendo adesso anche Opera su Webkit conta come Chrome?

Non penso perché la maggiore sicurezza dell'implementazione di Google del suo browser deriva dall'uso delle sandbox che non fà parte dello standard Webkit.
WebKit2 invece dispone della gestione separata dei processi, al livello di standard, però non mi sono informato sull'argomento per capire se sia stato adottato da qualche browser.
Per qualche tempo avevo provato pure Opera, ma dato che lato Linux lo sviluppo della versione a 32bit è stato fermato, ho perso interesse.
Nui_Mg23 Marzo 2015, 11:58 #18
Originariamente inviato da: palleggiatore
Meglio SRWare Iron

Direi proprio di no e te lo dice uno dei primissimi ad averlo usato (il tipo è un imbroglione non da poco; ti conviene ben di più usare i Chromium non nightly).
emiliano8423 Marzo 2015, 12:05 #19
Originariamente inviato da: Nui_Mg
Direi proprio di no e te lo dice uno dei primissimi ad averlo usato (il tipo è un imbroglione non da poco; ti conviene ben di più usare i Chromium non nightly).


non coscevo qusto SRWare Iron... in che senso il tipo e' un'imbroglione?
Nui_Mg23 Marzo 2015, 12:05 #20
Originariamente inviato da: Bivvoz
Non capisco perchè se sono riusciti a bucare tutti i browser allora chrome è più sicuro degli altri.

Perché è quello che quando è bucato, lo è in maniera nettamente più moderata di tutti gli altri e altre volte lo è per colpa più della piattaforma windows stessa (vedi il crollo di IE11 l'anno scorso per via di ASLR e DEP) sulla quale gira chrome per windows.
Non è un'opinione, chrome è oggettivamente più sicuro degli altri browser, vedi pure gli ultimi guai di flash che hanno inguaiato i vari browser ma molto meno i Chrome per via del loro flash con api ppapi e non npapi (firefox, maxthon, ecc.) e activex per IE.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^