QR code per la pagina originale

Pwn2Own 2013, cadono IE10, Chrome e Firefox

I ricercatori di sicurezza presenti alla competizione hanno bucato IE10, Firefox 19 e Chrome 25. Per adesso nessuno è riuscito ad attaccare Safari.

,

Al Pwn2Own 2013, l’annuale competizione tra ricercatori di sicurezza in corso a Vancouver, sono stati bucati i tre browser più diffusi sul mercato. Nell’ordine sono caduti uno dopo l’altro Internet Explorer, Firefox e Chrome. In meno di 30 minuti, i partecipanti sono riusciti a superare le varie difese di sicurezza dei software, eseguendo codice arbitrario sui dispositivi target, ovvero notebook e tablet con Windows 7 e Windows 8. I team hanno realizzato gli exploit, sfruttando vulnerabilità non ancora risolte. La vincita totale ammonta a 260.000 dollari.

La prima giornata del Pwn2Own 2013 prevedeva l’attacco a Chrome su Windows 7 (premio da 100.000 dollari), Internet Explorer 10 su Windows 8 (100.000 dollari), Internet Explorer 9 su Windows 7 (75.000 dollari), Firefox su Windows 7 (60.000 dollari) e Safari su OS X Mountain Lion (65.000 dollari). Il team di VUPEN Security è riuscito a bucare l’ultima versione del browser Microsoft integrato in Windows 8 sul tablet Surface Pro, sfruttando due vulnerabilità zero-day che hanno permesso di superare le difese della sandbox del sistema operativo. I ricercatori di sicurezza francesi hanno bucato anche Firefox 19 su Windows 7, vincendo quindi in totale 160.000 dollari.

Il team MWR Labs ha invece vinto 100.000 dollari con exploit che ha permesso di superare le difese di Windows 7, sfruttando diverse vulnerabilità zero-day di Chrome 25 e dello stesso sistema operativo. Visitando un sito web creato ad hoc, è stato possibile eseguire codice arbitrario nel contesto del processo di renderer “sandboxato” di Chrome. Sfruttando una vulnerabilità del kernel, il team ha bypassato i meccanismi di protezione della memoria Address Space Layout Randomisation (ASLR) e Data Execution Prevention (DEP).

All’inizio della giornata, due ricercatori indipendenti hanno bucato il plugin Java 7, vincendo 20.000 dollari, il premio più basso tra quelli messi in palio. Per adesso nessuno ha superato le difese di Safari su OS X Mountain Lion. Questa sera toccherà ai plugin Reader e Flash di Adobe.