Safari e IE8 sono i primi “bucati” al Pwn2Own 2011

È iniziato il Pwn2Own 2011, la competizione di hacking che si tiene durante la conferenza sulla sicurezza CanSecWest e i primi ad essere bucati sono stati Safari e Internet Explorer 8
mentre gli hacker registrati per attaccare Chrome non si sono presentati. Firefox invece entrerà in gara domani. In seguito il programma passerà sugli smartphone e in gara ci saranno: iPhone, Blackberry OS, Android e Windows Phone 7.

Le regole della competizione tra browser prevedevano che il software installato sui sistemi fosse aggiornato alla settimana scorsa, quindi alcuni recenti aggiornamenti – come Safari 5.0.4 – non sono stati applicati.

Quello a cedere per primo è stato il browser di Apple (versione 5.0.3), su un sistema operativo aggiornato Mac OS X 10.6.6. A infrangere le difese è stata l’azienda di sicurezza francese Vupen, la prima ad attaccare Safari.
I dettagli dell’attacco non possono essere rese note pubblicamente, come da regolamento, ma sappiamo che gli esperti di Vupen hanno fatto visitare al browser un sito maligno costruito per l’occasione e, dopo solo cinque secondi, sono stati in grado di avviare l’applicazione della calcolatrice e scrivere un file sull’hard disk. Così facendo i ricercatori hanno soddisfatto i due requisiti della gara: l’avvio di codice arbitrario e l’aggiramento dei sistemi di protezione sandbox.
Per l’occasione Vupen ha messo al lavoro tre ricercatori per due settimane, in modo da realizzare gli strumenti adeguati e trovare un attacco efficace. Il team francese si è quindi portato a casa 15 mila dollari e un nuovo MacBook Air, su cui si è svolta la prova.

Il secondo browser è stato Internet Explorer 8, in versione a 32 bit su un sistema Windows 7 con Service Pack 1 a 64 bit. L’autore dell’attacco è stato Stephen Fewer, ricercatore di Harmony Security. Anche in questo caso l’efficacia dell’exploit è stata dimostrata avviando l’applicazione della calcolatrice e scrivendo un file sull’hard disk.
L’attacco è stato costruito in circa cinque/sei settimane. Fewer si è portato a casa 15 mila dollari e un portatile Sony Vaio.
Ora Microsoft e Apple hanno sei mesi, per risolvere le falle sfruttate nella gara prima che le informazioni tecniche sugli attacchi siano rese pubbliche, a vantaggio di chiunque, malintenzionati compresi.

About davide

Ho sempre voglia di conoscere le novità che il mercato offre. Android, iOS, Windows Phone sono sempre stati centro di interesse come evoluzione e sviluppo.

Comments are closed.