Hack vs Browser: 1-0

"
La prima giornata del Pwn2Own 2010, il consueto contest che si tiene annualmente nel corso della conferenza sulla sicurezza CanSecWest, si è conclusa con un trionfo quasi totale da parte degli hacker che si sono voluti cimentare nelle due tipologie di sfide previste dagli organizzatori della manifestazione.

Per la prima tipologia prevista, che consiste nel riuscire a sfruttare una falla di sicurezza di un browser web per sferrare un attacco, sono stati messi in palio da Tipping Point 40.000 dollari da suddividere in quattro premi, uno per ciascun browser che verrà bucato.

I quattro browser messi a disposizione degli sfidanti erano Firefox 3, Google Chrome 4 e Internet Explorer 8 su piattaforma Windows 7, mentre per Safari 4 è stato messo a disposizione un MacBook Pro con Mac OS X 10.6 Snow Leopard. Tutti i software e i sistemi operativi sono stati aggiornati alle ultime release disponibili prima dell'inizio del contest.

Le danze sono state aperte da Charlie Miller, volto già noto nell'ambiente per aver individuato diverse falle in Mac OS X appena pochi giorni fa, che ha bucato Safari sfruttando una vulnerabilità del browser con un attacco da remoto.

Il secondo browser a cadere è stato invece Internet Explorer, ad opera di un attacco sferrato da Peter Vreugdenhil. L'attacco è avvenuto in questo caso da remoto, facendo navigare il browser su un sito creato ad hoc per sfruttare il codice malevolo creato da Vreugdenhil.

Infine è stato il turno di Firefox, che è stato violato da Nils, un altro volto noto della passata edizione del Pwn2Own. L'attacco di Nils è stato simile a quello di Vreugdenhil: dopo aver eluso anche in questo caso i meccanismi di sicurezza ASLR e DEP, lo studente tedesco ma eseguito l'applicazione "calc.exe", dimostrando di poter eseguire qualsiasi programma da remoto.

L'unico browser web a salvarsi per il momento è Chrome, che finora è stato "snobbato" dagli hacker. L'unica persona che sembra voler tentare l'impresa sul browser di Google è Charlie Miller, il quale ha però voluto mettere subito le cose in chiaro: "Ci sono diversi bug in Chrome, ma sono difficili da sfruttare. Al momento conosco una falla, ma non ho idea di come poterla sfruttare. E' davvero dura".

La seconda tipologia di sfida focalizzata in ambito mobile ha visto invece trionfare Vincenzo Iozzo e Ralf Philipp Weinmann, che con il loro attacco sono riusciti a violare un iPhone 3GS con sistema operativo aggiornato alla versione 3.1.3. L'exploit è stato condotto anche in questo caso visitando un sito contenente codice malevolo con lo smartphone."

FONTE: hwupgrade.it

che dire... risultati interessanti no? in pratica siamo fregati

Non è mica la prima volta, è sempre stato così.
Anzi, mi meraviglio che c'è un browser che, almeno per ora, ha resistito.

ma a quanto ho capito ha resistito perchè ancora nessuno ha provato

Secondo me Google ha cacciato i soldi

Perchè non gli fanno fare un contest simile sulla PS3?

Sicuramente con chrome non si sarebbero divertiti.
I principali problemi di safari sono dovuti allo stesso Webkit.

Chrome è davvero difficilissimo da exploitare. Tutti i partecipanti del contest hanno detto che conoscono le falle ma non sanno sfruttarle

Chrome FTW

da quando l'ho scoperto uso solo chrome!!

se trovi uno con i controcaxxi non ti salva nemmeno tutta Microsoft