(http://sorrentinomaurizio.blogspot.com/2010/02/appuntamento-hacker-pwn2own-la-gara-per.html) .
Ebbene amici, si è svolto e .......roba da far tremare i circuiti !
La prima giornata del Pwn2Own 2010, il consueto contest che si tiene annualmente nel corso della conferenza sulla sicurezza CanSecWest, si è conclusa con un trionfo quasi totale da parte degli hacker che si sono voluti cimentare nelle due tipologie di sfide previste dagli organizzatori della manifestazione.
Per la prima tipologia prevista, che consiste nel riuscire a sfruttare una falla di sicurezza di un browser web per sferrare un attacco, sono stati messi in palio da Tipping Point 40.000 dollari da suddividere in quattro premi, uno per ciascun browser che verrà bucato.
I quattro browser messi a disposizione degli sfidanti erano Firefox 3, Google Chrome 4 e Internet Explorer 8 su piattaforma Windows 7, mentre per Safari 4 è stato messo a disposizione un MacBookPro con Mac OS X 10.6 Snow Leopard. Tutti i software e i sistemi operativi sono stati aggiornati alle ultime release disponibili prima dell'inizio del contest.
Le danze sono state aperte da Charlie Miller, volto già noto nell'ambiente per aver individuato diverse falle in Mac OS X appena pochi giorni fa, che ha bucato Safari sfruttando una vulnerabilità del browser con un attacco da remoto.
Il secondo browser a cadere è stato invece Internet Explorer, ad opera di un attacco sferrato da Peter Vreugdenhil. L'attacco è avvenuto in questo caso da remoto, facendo navigare il browser su un sito creato ad hoc per sfruttare il codice malevolo creato da Vreugdenhil.
Infine è stato il turno di Firefox, che è stato violato da Nils, un altro volto noto della passata edizione del Pwn2Own. L'attacco di Nils è stato simile a quello di Vreugdenhil: dopo aver eluso anche in questo caso i meccanismi di sicurezza ASLR e DEP, lo studente tedesco ma eseguito l'applicazione "calc.exe", dimostrando di poter eseguire qualsiasi programma da remoto.
L'unico browser web a salvarsi per il momento è Chrome, che finora è stato "snobbato" dagli hacker. L'unica persona che sembra voler tentare l'impresa sul browser di Google è Charlie Miller, il quale ha però voluto mettere subito le cose in chiaro: "Ci sono diversi bug in Chrome, ma sono difficili da sfruttare. Al momento conosco una falla, ma non ho idea di come poterla sfruttare. E' davvero dura".
La seconda tipologia di sfida focalizzata in ambito mobile ha visto invece trionfare Vincenzo Iozzo e Ralf Philipp Weinmann, che con il loro attacco sono riusciti a violare un iPhone 3GS con sistema operativo aggiornato alla versione 3.1.3. L'exploit è stato condotto anche in questo caso visitando un sito contenente codice malevolo con lo smartphone .
Link :
http://www.hwupgrade.it/news/sicurezza/pwn2own-bucati-safari-firefox-ie8-chrome-non-ancora-testato_32057.html
Nessun commento:
Posta un commento