Pwn2Own: bucati Safari, Firefox, IE8, Chrome non ancora testato

@ Pikazul secondo te? come tanti si comparano review favorevoli online cosa pensi? cioè hanno bucato facilmente tutti i browser disponibili che anni dietro di esperienza nei problemi di sicurezza, chiaro non sono perfetti ma che chrome invulnerabile o difficile da bucare e solo marketing, visto che non portano niente di innovativo, che è veloce è grazie al webkit non a loro di sicuro, cioè tutti i browser giù in un giorno e questo qua non hanno neanche provato, almeno non dovevano nominarlo, non credete? come non hanno nominato opera visto che ha un market share scarso, ma va...

l'eseguibile di chrome sta in
C:\Users\<username>\AppData\Local\Google\Chrome\Application

e, ho appena controllato, l'utente <username> ne ha il pieno controllo
(come è di default per file nella home dell'utente immagino)

quindi immagino che se posso eseguire come <username> del codice che vada a patchare chrome.exe il file venga effettivamente modificato senza blocchi da parte dello uac

tuttavia credo che il contesto della competizione in oggetto sia che bisogna fregare il browser e poi il sistema sfruttando una vulnerabilità del browser stesso per prima cosa, temo che avere la possibilità di eseguire codice malevolo in un processo che non fa parte del browser per poi attaccare il browser stesso non valga (a meno che, di nuovo, tale possibilità non la si sia ottenuta tramite lo sfruttamento di una vulnerabilità del browser, credo )

eh si che nell'articolo c'è pure scritto che Chrome tenteranno di bucarlo ma lo reputano il più difficile da violare....

possibile che riuscite solo a fare polemiche inutili, la sandbox di Chrome funziona alla grande, fatevene una ragione!

mi piacciono i complottisti!!! si fanno venire il tumore al fegato per ste cose

hanno scritto appunto che ci vogliono provare ancor di più adesso, poi penso che a questi hacker piacciano le sfide dure

Da http://attivissimo.blogspot.com/201...-bucati-in.html :

Firefox 3 su Windows 7 non se l'è cavata meglio: Nils, della britannica MWR Infosecurity, è riuscito a scardinarne le difese, dimostrando di aver preso possesso del computer facendogli eseguire la Calcolatrice.

Ti basta come prova avviare un qualsiasi eseguibile da remoto?

Sopratutto Chrome è l'ultimo ad essere stato pensato e scritto, quindi fa tesoro di tutti gli errori altrui e dell'evoluzione delle architetture e della programmazione..... niente codice legacy, niente retrocompatibilità.... mica poco!

@Bison
in realtà quale eseguibile viene lanciato ha una rilevanza in quanto calc lo può eseguire un qualsiasi utente, scandisk, ad esempio, solo un admin. In ogni caso come hanno fatto notare eseguire più istanze dello stesso software potrebbe comunque essere fastidioso.

Non è vero che gli hacker hanno snobbato Opera, sono gli organizzatori che l'hanno fatto; la notizia dice infatti che i browser che sono stati messi a disposizione degli sfidanti erano 4 (Safari, Ie, FF e Chrome).

Rispetto alla scorso anno mi pare abbiano aggiunto Chrome mentre Opera resta sempre fuori (se non ricordo male anche l'anno scorso avevano usato sia ie8 che 7, ovviamente entrambi in versione RC dato che la RTM non era ancora uscita).

In ogni caso è triste vedere quanto facilmente si possa compromettere un sistema informatico

Sì ma: Windows 7 in default è come se UAC non fosse attivato!

A parte che le recensioni "vendute" mi sono sempre sapute di palla colossale, qui non si sta parlando di UNA persona che non c'è riuscita, parliamo di comprare tutte le società di sicurezza del globo per evitare che anche uno ci riesca, è completamente diverso. A meno che tu non pensi che ci sia qualcuno che si compri tutti i siti di informatica del mondo per avere recensioni positive

Per quanto riguarda la velocità di Chrome, non sai neppure di cosa stai parlando e si vede dall'astio nel tuo messaggio che evidentemente hai qualcosa contro Google. Ciò che rende Chrome veloce non è Webkit, che di certo aiuta ma non è fondamentale, ma è il motore javascript sviluppato in proprio. Il rendering dell'html non è così pesante, ma il javascript può cominciare a dare seri problemi se le prestazioni non sono all'altezza.

Poi non capisco perchè ti ostini a non credere che sia possibile bucare un browser, la stessa mozilla ha rilasciato una patch speciale due giorni fa per coprire un bug che sapevano avrebbe potuto essere usto al pwn2own, è così impensabile che ce ne fosse un'altro? Chi te lo dice che "chrome non porta niente di innovativo"? Sembra una posizione per partito preso, onestamente.

L'esclusione di opera dal concorso non me la spiego neanche io onestamente, probabilmente una questione di popolarità. Chrome non ha molto più market share ma è marchiato google e questo l'ha reso quantomeno famoso, opera evidentemente mantiene ancora l'immagine del browser di nicchia. Spero che grazie al ballot screen avremo la possibilità di vederla in gara l'anno prossimo.



PS: Gli hacker da film anni 80, gli smanettoni anarcoidi che combattono contro il potere per la libertà delle informazioni e il diritto della conoscenza non esistono più Oggi le persone in grado di aggirare sistemi di sicurezza appartengono a due categorie:
A) Quelli che lavorano per aziende il cui scopo è commettere illeciti
B) quelli che lavorano per aziende il cui scopo è evitare che siano commessi illeciti
A questo concorso hanno partecipato un buon numero di esperti del settore B

non bestemmiare!