2777 Letture
Edge, Chrome e Safari attaccati durante una gara fra hacker simile a Pwn2Own

Edge, Chrome e Safari attaccati durante una gara fra hacker simile a Pwn2Own

I ricercatori cinesi organizzano un torneo alternativo a Pwn2Own e dimostrano le loro abilità attaccando con successo alcuni tra i principali browser web oltre a diversi altri software di utilizzo comune.

I ricercatori cinesi si sono storicamente sempre messi in grande evidenza nel corso dell'evento Pwn2Own, competizione tra hacker che ha come scopo quello di riuscire a trovare nuove falle in alcuni tra i software più utilizzati, browser web compresi.
Il governo di Pechino ha però recentemente proibito ai cittadini cinesi la partecipazione ad eventi internazionali come Pwn2Own. Così, è recentemente nata la manifestazione Tianfu Cup, organizzata in Cina e con regole molto simili a quelle di Pwn2Own.
In questo modo gli studiosi estremo-orientali hanno potuto continuare a mostrare le loro abilità.

L'edizione 2019 dell'evento si è appena conclusa con la conferma della scoperta di alcune falle di sicurezza in Edge, Chrome e Safari. Nel caso del browser Microsoft (la versione basata sul motore EdgeHTML, non quella nuova costruita sulle fondamenta di Chromium) i ricercatori hanno scoperto tre vulnerabilità critiche. Le prime due consentono di eseguire codice in modalità remota (RCE), la seconda di superare i confini della sandbox e, di conseguenza, aggredire l'intero sistema.


Nel caso di Chrome le falle critiche sono due mentre un grave problema di sicurezza riguarda Safari.

Da qualche tempo a questa parte, la maggioranza delle aziende che sviluppano software inviano i loro tecnici per assistere alle dimostrazioni svolte durante le edizioni di Pwn2Own. L'obiettivo è ovviamente quello di rendersi subito conto dei problemi di sicurezza scoperti e attivarsi subito per risolverli a brevissimo termine.
Nel caso della Tianfu Cup, sembra che fossero presenti solo gli sviluppatori di Google; altamente probabile che le aziende comincino a partecipare nel corso dei prossimi anni.




Diverse lacune di sicurezza sono state scoperte in Office 365, Adobe PDF Reader, VMware Workstation, nell'"accoppiata" qemu-kvm più Ubuntu. Pochi i dettagli di natura strettamente tecnica che saranno rilasciati dopo la risoluzione delle vulnerabilità.
Gli hacker, nel frattempo, sono stati premiati con premi da migliaia di dollari per ciascuna falla di sicurezza. Le tre falle individuate in Edge hanno fruttato, nel loro complesso, 65.000 dollari.

Edge, Chrome e Safari attaccati durante una gara fra hacker simile a Pwn2Own