Pwn2Own: attaccati tutti i browser web. I dettagli

Ricercatori ed esperti in sicurezza informatica di tutto il mondo hanno messo alla prova i principali quattro browser web (Internet Explorer, Firefox, Chrome e Safari) con il preciso obiettivo di individuare vulnerabilità nuove, sinora mai evidenziate.
L’evento che ha fatto da banco di prova per i browser è stato, ancora una volta, Pwn2Own – competizione organizzata annualmente da Zero-Day Initiative (sponsorizzata da HP) che mette in palio interessanti premi in denaro -.

Un importo complessivo di 557.500 dollari è stato versato a tutti i ricercatori che hanno dimostrato il funzionamento di attacchi “inediti” sferrati nei confronti dei vari browser, dei sistemi operativi e di programmi ampiamente utilizzati dagli utenti.

Ancora una volta, Google Chrome si è dimostrato come il browser più robusto, grazie soprattutto al solido meccanismo di sandboxing implementato dal browser. L’unica vulnerabilità individuata in Chrome è stata illustrata dal coreano Jung Hoon Lee che ha sviluppato un exploit funzionante (circa 2.000 righe di codice) aggiudicandosi 225.000 dollari di premio a fronte delle falle scoperte anche in altri prodotti.

I partecipanti all’edizione di quest’anno dell’evento Pwn2Own hanno individuato:

– 5 nuovi bug di sicurezza in Windows
– 4 vulnerabilità in Internet Explorer
– 3 vulnerabilità in Firefox
– 3 vulnerabilità in Adobe Reader
– 3 vulnerabilità in Adobe Flash
– 2 vulnerabilità in Safari
– una vulnerabilità in Chrome

Internet Explorer è il browser che, in assoluto, ha dovuto subire il maggior numero di attacchi positivamente condotti a termine. È comunque ipotizzabile che Microsoft possa presto mettersi alle spalle gran parte del fardello di Internet Explorer grazie al lancio di Spartan in Windows 10: Microsoft: il browser Spartan per rompere col passato.

Mozilla la più veloce a reagire

Mozilla è stata la più veloce a rispondere alla scoperta delle nuove vulnerabilità nell’ambito della competizione Pwn2Own. Portavoce della fondazione hanno spiegato che Firefox 36.0.4 (note di rilascio) risolve due delle lacune di sicurezza che consentono ad un malintenzionato di violare la cosiddetta “same origin policy“.

Tale politica di sicurezza, che deve essere obbligatoriamente adottata da tutti i browser, riveste un’importanza a dir poco cruciale.
Gli elementi che compongono una pagina web (ad esempio il codice JavaScript o contenuti di altro genere) devono poter accedere esclusivamente alle risorse veicolate dalle pagine dello stesso sito web. Non dev’essere invece assolutamente permesso l’accesso alle risorse di altri siti, caricate ad esempio nelle altre schede aperte con lo stesso browser.

La terza vulnerabilità emersa in occasione della manifestazione Pwn2Own, invece, sarà aggiornata in occasione del rilascio di Firefox 37 ma – tengono a precisare i tecnici di Mozilla – non può essere utilizzata da sola per far danni.