www.zambros.it

Certificato Google Adwords

Google Partners - Certification piccolo


26
Mar
2010
Pwn2Own: bucati Safari, Firefox, IE8, Chrome non ancora testato PDF Stampa E-mail
Valutazione attuale: / 0
ScarsoOttimo 
Scritto da Matteo Zambon   

pwn2own“Nel corso della prima giornata del PwnOwn 2010 quasi tutti i principali browser sono caduti sotto gli attacchi degli hacker. Salvo Google Chrome, che per ora non ha subito ancora nessun tentativo di attacco.”

 

 

La prima giornata del Pwn2Own 2010, il consueto contest che si tiene annualmente nel corso della conferenza sulla sicurezza CanSecWest, si è conclusa con un trionfo quasi totale da parte degli hacker che si sono voluti cimentare nelle due tipologie di sfide previste dagli organizzatori della manifestazione.

Per la prima tipologia prevista, che consiste nel riuscire a sfruttare una falla di sicurezza di unbrowser web per sferrare un attacco, sono stati messi in palio da Tipping Point 40.000 dollari da suddividere in quattro premi, uno per ciascun browser che verrà bucato.

I quattro browser messi a disposizione degli sfidanti erano Firefox 3, Google Chrome 4 e Internet Explorer 8 su piattaforma Windows 7, mentre per Safari 4 è stato messo a disposizione un MacBook Pro con Mac OS X 10.6 Snow Leopard. Tutti i software e i sistemi operativi sono stati aggiornati alle ultime release disponibili prima dell'inizio del contest.

Le danze sono state aperte da Charlie Miller, volto già noto nell'ambiente per aver individuato diverse falle in Mac OS X appena pochi giorni fa, che ha bucato Safari sfruttando una vulnerabilità del browser con un attacco da remoto.

 

 

Il secondo browser a cadere è stato invece Internet Explorer, ad opera di un attacco sferrato da Peter Vreugdenhil. L'attacco è avvenuto in questo caso da remoto, facendo navigare il browser su un sito creato ad hoc per sfruttare il codice malevolo creato da Vreugdenhil.

Infine è stato il turno di Firefox, che è stato violato da Nils, un altro volto noto della passata edizione del Pwn2Own. L'attacco di Nils è stato simile a quello di Vreugdenhil: dopo aver eluso anche in questo caso i meccanismi di sicurezza ASLR e DEP, lo studente tedesco ma eseguito l'applicazione "calc.exe", dimostrando di poter eseguire qualsiasi programma da remoto.

L'unico browser web a salvarsi per il momento è Chrome, che finora è stato "snobbato" dagli hacker. L'unica persona che sembra voler tentare l'impresa sul browser di Google è Charlie Miller, il quale ha però voluto mettere subito le cose in chiaro: "Ci sono diversi bug in Chrome, ma sono difficili da sfruttare. Al momento conosco una falla, ma non ho idea di come poterla sfruttare. E' davvero dura".

La seconda tipologia di sfida focalizzata in ambito mobile ha visto invece trionfare Vincenzo Iozzo e Ralf Philipp Weinmann, che con il loro attacco sono riusciti a violare un iPhone 3GS con sistema operativo aggiornato alla versione 3.1.3. L'exploit è stato condotto anche in questo caso visitando un sito contenente codice malevolo con lo smartphone.

 

 

Aggiungi commento


Codice di sicurezza
Aggiorna

SimDice Tweet


Free Software

DadoPubblicato online il simulatore del lancio di dadi. La versione è flash cioè non salva i dati.
Prossimamente ci sarà una versione dove si potranno visualizzare tutti i tiri eseguiti!
L'applicazione si trova a questo link.


Twitter



P.IVA: 03864690239 - CF: ZMBMTT82A25A459W - Cell 338 8835425 - info@zambros.it