QR code per la pagina originale

Pwn2Own 2013, bucati anche Adobe Reader e Flash

Anche i due plugin più diffusi non hanno resistito agli attacchi dei partecipanti al contest. Rilasciate nuove versioni per Firefox e Chrome.

,

Dopo Internet Explorer, Firefox e Chrome, anche Adobe Reader e Adobe Flash non hanno resistito agli attacchi dei partecipanti al Pwn2Own 2013 di Vancouver. Il giorno dopo aver scardinato le difese di IE10, Firefox 19 e Java, la società di sicurezza VUPEN ha superato anche la sandbox di Adobe Flash, aggiudicandosi il premio di 70.000 dollari. Adobe Reader, invece, è stato bucato da George Hotz, il famoso GeoHot che ha craccato la PS3 nel 2010. Anche in questo caso, il premio era di 70.000 dollari.

Il CEO di VUPEN, Chaouki Bekrar, ha dichiarato che Adobe sta facendo un ottimo lavoro nello sviluppo del suo plugin:

È più costoso creare un exploit per Flash rispetto a Java. Ogni volta che Adobe aggiorna Flash, risolve i bug e blocca gli exploit che bypassano la sandbox.

A differenza di Adobe, Oracle non presta la necessaria attenzione allo sviluppo del plugin. Java si può bucare facilmente, in quanto non ha una sandbox. È per questo motivo che il premio assegnato al Pwn2Own 2013 era molto basso (20.000 dollari).

Anche George Hotz è riuscito ad eseguire codice arbitrario sul sistema target, dopo aver superato le difese della sandbox di Adobe Reader XI, una tecnologia presente nel software dal 2010 e aggiornata ulteriormente a fine 2012. Al momento, Adobe non ha rilasciato nessuna patch per Flash e Reader. Nessun partecipante ha provato ad attaccare Safari su OS X Mountain Lion. In un contest parallelo, denominato Pwnium 3, Chrome OS ha superato indenne i tentativi di hack, nonostante i 3,14 milioni di dollari messi in palio.

In meno di 24 ore, sia Google che Mozilla hanno distribuito un update per Chrome e Firefox. Le ultime versioni dei browser sono, rispettivamente, la 25.0.1364.160 e la 19.0.2. Difficilmente Microsoft rilascerà un aggiornamento per Internet Explorer 10 con il Patch Tuesday del 12 marzo.

Fonte: ArsTechnica • Notizie su: