Pwn2Own 2015, nessun browser è sicuro

Qual è il browser più sicuro? Non esiste. Questa è la risposta degli hacker che hanno partecipato al Pwn2Own 2015 di Vancouver. Nei due giorni di gara, infatti, sono caduti uno dopo l’altro Internet Explorer 11, Google Chrome, Mozilla Firefox e Apple Safari. La notizia positiva è che le vulnerabilità non sono state divulgate pubblicamente, ma comunicate alle rispettive software house. Mozilla ha già rilasciato la release 36.0.4. Gli organizzatori hanno consegnato premi in denaro per un totale di 557.500 dollari.

L’obiettivo dei partecipanti al contest è mostrare il funzionamento degli exploit scritti per sfruttare le vulnerabilità scoperte nelle ultime versioni dei software, ovvero modificare il path di esecuzione del programma o del processo per consentire l’esecuzione di istruzioni arbitrarie. Il tempo a disposizione è di soli 30 minuti, durante i quali i ricercatori di sicurezza devono mettere in pratica le loro scoperte. Il browser con più vulnerabilità è risultato Internet Explorer 11 (4 bug), seguito da Firefox (3 bug), Safari (2 bug) e Chrome (1 bug).

Il browser di Google si è rivelato il più sicuro, consentendo a Jung Hoon Lee di incassare 110.000 dollari in appena due minuti (la durata della dimostrazione). Il coreano ha sfruttato una falla “buffer overflow race condition”, superando le difese della sandbox di Chrome e della address space layout randomization (ASLR) di Windows 8.1. Jung Hoon Lee ha inoltre bucato la versione a 64 bit di Internet Explorer 11 su Windows 8.1 e Safari su OS X Yosemite, guadagnando così altri 115.000 dollari.

Oltre ai quattro browser, sotto gli attacchi dei partecipanti sono caduti anche Windows (5 bug), Adobe Reader (3 bug) e Adobe Flash (3 bug) per un totale di 21 vulnerabilità, che sono state segnalate agli sviluppatori dei software. Come già fatto da Mozilla, anche Apple, Microsoft, Adobe e Google rilasceranno le patch nei prossimi giorni.