Pwn2Own 2014: cadono tutti i browser, ma è Firefox ad avere la peggio

Pwn2Own 2014: cadono tutti i browser, ma è Firefox ad avere la peggio

Al secondo giorno dell'evento Pwn2Own 2014 sono caduti tutti i browser web: Chrome, Internet Explorer e Safari, ma è stato Firefox ad avere avuto la peggio, con tre falle 0-day scoperte e dimostrate

di pubblicata il , alle 12:01 nel canale Web
FirefoxMozilla
 

Pwn2Own è una competizione annuale fra ricercatori di sicurezza che ha come scopo quello di trovare vulnerabilità all'interno di software specificamente pensati per la fruizione di contenuti sul web. Il montepremi delle competizioni può superare anche il milione di dollari e la visibilità è assicurata per chi partecipa.

Durante il primo giorno dell'evento è il francesce Vupen ad assicurarsi una grossa fetta del montepremi, vincendo 300.000 dei 400.000 dollari assegnati. Il ricercatore è riuscito a sfruttare falle 0-day su Adobe Flash, Adobe Reader, Internet Explorer e Mozilla Firefox. Chrome resta inviolato nel primo giorno di competizioni.

Pwn2Own

Il browser di Google cade però durante il secondo giorno, in cui HP assegna un montepremi di 450.000$, che va a sommarsi ai 400.000 del primo giorno del contest. A portare a casa il risultato peggiore è Mozilla Firefox, per il quale erano state scoperte tre falle di sicurezza nel primo giorno, ed un'altra nel secondo.

Mozilla si è sempre mostrata pronta a correggere le falle di sicurezza all'interno del proprio Firefox: "Stiamo lavorando in modo da risolvere velocemente tutti i bug scoperti, e ci aspettiamo di rilasciare i fix durante la prossima settimana", ha dichiarato Sid Stamm, Senior Engineering Manager of Security and Privacy per Mozilla.

Stamm ha continuato specificando che al momento il rischio per gli utenti di Firefox è praticamente nullo, almeno nei prossimi giorni. Le vulnerabilità scoperte infatti non sono state rese pubbliche, e lo saranno solamente quando verranno rilasciate le relative patch di sicurezza. Secondo Stamm, inoltre, il risultato negativo di Firefox ha motivazioni esclusivamente economiche.

Pwn2Own paga grossi quantitativi di denaro per la scoperta di ogni vulnerabilità (circa 50.000$), soprattutto se paragonati al programma di "bug bounty" di Mozilla, che offre 3.000$ per ogni falla scoperta. Google e Microsoft offrono fino a 100.000$ per ogni vulnerabilità scoperta rispettivamente su Chrome e Internet Explorer.

I ricercatori, pertanto, hanno aspettato l'evento per divulgare le falle di sicurezza su Firefox, in modo da ottenere la più alta retribuzione possibile dalla scoperta.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
bancodeipugni17 Marzo 2014, 12:38 #1
non so perché ma ho come la sensazione che
Eraser|8517 Marzo 2014, 12:41 #2
Io sinceramente mi sono rotto le balle di Firefox, lo uso da quando si chiamava ancora Firebird ma oramai mi ha stancato: lento (sul computer in firma il "cold boot" del browser dura qualche secondo), consuma un casino di memoria, sync funziona malissimo e soprattutto non mi da alcun modo di avere i miei preferiti e password sul mio windows phone.

Aspetto solo che rilascino WP8.1 per poi passare definitivamente a IE.
Rubberick17 Marzo 2014, 13:16 #3
per me continua ad essere il browser con cui mi trovo di +

anche se va contenuto di parecchio ma non per colpa sua disabilitati tutti i plugin non necessari e mettere sia acrobat che flash in modalità ask

in questo modo almeno non vengono runnati da subito tutti i plugin

noscript e adblock plus sono un altro obbligo

se si gira con questi piccoli accorgimenti già si viaggia meglio

cmq spero fixino tutto quanto prima
emiliano8417 Marzo 2014, 13:41 #4
Originariamente inviato da: Eraser|85
Io sinceramente mi sono rotto le balle di Firefox, lo uso da quando si chiamava ancora Firebird ma oramai mi ha stancato: lento (sul computer in firma il "cold boot" del browser dura qualche secondo), consuma un casino di memoria, sync funziona malissimo e soprattutto non mi da alcun modo di avere i miei preferiti e password sul mio windows phone.

Aspetto solo che rilascino WP8.1 per poi passare definitivamente a IE.


io da quando sono passato a win8/8.1 uso ie 10/11 come primo browser ... e avendo wp, anche io spero in una migliore sincronizzazione
marcos8617 Marzo 2014, 14:00 #5
Al pwn2own c'erano anche in palio 150 mila dollari per chi riusciva a bypassare ie con emet, ma nessuno ce l'ha fatta.

Certo, emet si può usare con qualsiasi browser, resta cmq un risultato notevole. Peccato non sia inserito di serie in Windows, dovrebbe avere molta più pubblicità imho (per dire, se neanche le testate specializzate ne parlano...)
emiliano8417 Marzo 2014, 14:05 #6
Originariamente inviato da: marcos86
Al pwn2own c'erano anche in palio 150 mila dollari per chi riusciva a bypassare ie con emet, e pare non ci abbia provato nessuno (il che vuol verosimilmente dire che nessuno era al momento in grado di bypassarlo)


si infatti avevo letto:

https://twitter.com/jmanici/status/444564554224533504
Gylgalad17 Marzo 2014, 15:29 #7
uso ff da una vita e mi son sempre trovato benone! è l'unico rimasto indipendente poi.. su questa competizione do ragione al tizio che vede una motivazione economica sotto
*tony*17 Marzo 2014, 15:35 #8
Originariamente inviato da: marcos86
Al pwn2own c'erano anche in palio 150 mila dollari per chi riusciva a bypassare ie con emet, ma nessuno ce l'ha fatta.


Ah ah ah...Grazie al cavolo....
Quando in palio hanno messo la bellezza di 950000 dollari x bucare Crhome pensi davvero ci sia qualcuno interessato ai bruscolini?
Non interessava, nessuno ha perso tempo a cercare le falle perché non era conveniente, è diverso.

Se devo svaligiare una banca aspetto/punto quella piena di soldi, mi pare ovvio.....
emiliano8417 Marzo 2014, 15:40 #9
Originariamente inviato da: *tony*
Ah ah ah...Grazie al cavolo....
Quando in palio hanno messo la bellezza di 950000 dollari x bucare Crhome pensi davvero ci sia qualcuno interessato ai bruscolini?
Non interessava, nessuno ha perso tempo a cercare le falle perché non era conveniente, è diverso.

Se devo svaligiare una banca aspetto/punto quella piena di soldi, mi pare ovvio.....


dove li hai visti 950.000$ per chrome ???

http://nakedsecurity.sophos.com/201...and-win-150000/
*tony*17 Marzo 2014, 15:44 #10
Originariamente inviato da: emiliano84
dove li hai visti 950.000$ per chrome ???


Nell'articolo di cui stiamo discutendo e che tu non hai letto....

Il browser di Google cade però durante il secondo giorno, in cui HP assegna un montepremi di 450.000$, che va a sommarsi ai 400.000 del primo giorno del contest.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^