Home News Pwn2Own: violati Safari, Firefox ed Explorer 8

Pwn2Own: violati Safari, Firefox ed Explorer 8

Pwn2Own: violati Safari, Firefox ed Explorer 8Ogni anno, il contest Pwn2Own mette in gara i migliori esperti di sicurezza informatica nella cornice della Conferenza CanSec di Vancouver per tentare di individuare e sfruttare i bug dei browser. Dopo il primo giorno dell'edizione 2010, iPhone attraverso il browser Safari è stato messo KO.

Due ricercatori, Vincenzo Iozzo e Ralph Weinmann, sono stati tra i primi a violare il dispositivo mobile, sfruttando una falla del browser Safari per recuperare SMS su un server. Purtroppo i due concorrenti non hanno potuto assistere fisicamente alla premiazione a causa del ritardo del loro aereo, ma sono stati rappresentati da Halvar Flake, altro conosciuto ricercatore in sicurezza, intascando 15.000 dollari per la scoperta di questa vulnerabilità Zero-Day.

Apple Safari

Charlie Miller, un analista in sicurezza presso Independant Security Evaluators, ha rapidamente sfruttato un altro bug presente nella versione professionale di Safari. E' riuscito ad infilarsi nel browser aprendo una shell da remoto, che gli ha permesso di eseguire codice arbitrario a distanza. Egli ha guadagnato 10.000 dollari per questa scoperta, ma ha dichiarato di non voler rivelare tutti i bug (circa 20) individuati e presenti in Safari nonostante il regolamento del contest imponga ai suoi partecipanti di descrivere la falla utilizzata per violare la macchina. Lo stesso Miller sottolinea che sono bastate solo tre settimane e tre computer per riconoscere 20 vulnerabilità.

Anche gli altri browser Web non sono immuni. Uno specialista olandese, Peter Vreugdenhil, è riuscito a passare la protezione di ASLR, sfruttando una falla presente in Internet Explorer 8 di Windows 7. 10.000 dollari per lui, come anche per un ricercatore inglese, che ha utilizzato la stessa tecnica per sfruttare una vulnerabilità di Mozilla Firefox (solo alcuni giorni per l'individuazione). Gli esperti non hanno testato Nexus One, Blackberry Bold 9700, né Nokia E72 ed il suo sistema Symbian. Opera non ha partecipato al contest.

 

Commenti (0) 

RSS dei commenti
Scrivi un commento
Si deve essere connessi al sito per poter inserire un commento. Registratevi se non avete ancora un account.

busy