Bucati tutti i browser: Explorer, Chrome, Firefox e Safari

Il Pwn2Own, l’hack-contest che si tiene ogni anno in Canada presso la conferenza CanSecWest, ha fatto vittime eccellenti per quanto riguarda i browser. Sono caduti tutti i più importanti programmi di navigazione: Internet Explorer, Chrome, Firefox e Safar.

Si tratta di tutte vulnerabilità zero-day sfruttate tramite computer equipaggiati con Windows 7, Windows 8 ed OS X Mountain Lion aggiornati fino all’ultima patch.

Nel corso della gara nessun browser è rimasto in piedi nella configurazione di default e con le ultime patch rilasciate dai rispettivi produttori.

La “colpa” è della grande esperienza degli hacker che hanno sfruttato vulnerabilità sconosciute e che (fortunatamente per i comsumatori) saranno comunicate ai vendor.

Firefox è stato scalfito dalla squadra francese di Vipen Security grazie a una tecnica che bypassa l’Address Space Layout Randomisation (ASLR) e la Data Execution Prevention (DEP) di Windows, due sistemi che randomizzano l’assegnazione dei dati agli spazi di memoria, così da rendere meno facile l’individuazione di funzioni cruciali del sistema operativo.

I britannici di MWR Labs, invece, sono riusciti a “bucare” Chrome su Windows 7 bypassando la sandbox del browser mediante una pagina Web infetta. Si sono così garantiti un premio in denaro pari a 100.000 dollari. Ma questa non è stata l’unica lauta ricompensa elargita nel contest.

Anche altri hacker hanno visto riconoscere la loro abilità per le falle scoperte su Explorer 10 su Windows 8. 65.000 dollari agli scopritori di un exploit in Safari si OS X Mountain Lion.

Certo, ovviamente sono vulnerabilità che solo dei massimi esperti possono scoprire. Quindi invitiamo a stare tranquilli.

In ogni caso Microsoft, Google e le altre case produttrici saranno informate dei bug e risolveranno sicuramente i problemi in tempi molto celeri!




Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.