5450 Letture

Pwn2Own: attaccati tutti i browser web. I dettagli

Ricercatori ed esperti in sicurezza informatica di tutto il mondo hanno messo alla prova i principali quattro browser web (Internet Explorer, Firefox, Chrome e Safari) con il preciso obiettivo di individuare vulnerabilità nuove, sinora mai evidenziate.
L'evento che ha fatto da banco di prova per i browser è stato, ancora una volta, Pwn2Own - competizione organizzata annualmente da Zero-Day Initiative (sponsorizzata da HP) che mette in palio interessanti premi in denaro -.

Un importo complessivo di 557.500 dollari è stato versato a tutti i ricercatori che hanno dimostrato il funzionamento di attacchi "inediti" sferrati nei confronti dei vari browser, dei sistemi operativi e di programmi ampiamente utilizzati dagli utenti.

Ancora una volta, Google Chrome si è dimostrato come il browser più robusto, grazie soprattutto al solido meccanismo di sandboxing implementato dal browser. L'unica vulnerabilità individuata in Chrome è stata illustrata dal coreano Jung Hoon Lee che ha sviluppato un exploit funzionante (circa 2.000 righe di codice) aggiudicandosi 225.000 dollari di premio a fronte delle falle scoperte anche in altri prodotti.


I partecipanti all'edizione di quest'anno dell'evento Pwn2Own hanno individuato:

- 5 nuovi bug di sicurezza in Windows
- 4 vulnerabilità in Internet Explorer
- 3 vulnerabilità in Firefox
- 3 vulnerabilità in Adobe Reader
- 3 vulnerabilità in Adobe Flash
- 2 vulnerabilità in Safari
- una vulnerabilità in Chrome

Internet Explorer è il browser che, in assoluto, ha dovuto subire il maggior numero di attacchi positivamente condotti a termine. È comunque ipotizzabile che Microsoft possa presto mettersi alle spalle gran parte del fardello di Internet Explorer grazie al lancio di Spartan in Windows 10: Microsoft: il browser Spartan per rompere col passato.


Mozilla la più veloce a reagire

Mozilla è stata la più veloce a rispondere alla scoperta delle nuove vulnerabilità nell'ambito della competizione Pwn2Own. Portavoce della fondazione hanno spiegato che Firefox 36.0.4 (note di rilascio) risolve due delle lacune di sicurezza che consentono ad un malintenzionato di violare la cosiddetta "same origin policy".

Tale politica di sicurezza, che deve essere obbligatoriamente adottata da tutti i browser, riveste un'importanza a dir poco cruciale.
Gli elementi che compongono una pagina web (ad esempio il codice JavaScript o contenuti di altro genere) devono poter accedere esclusivamente alle risorse veicolate dalle pagine dello stesso sito web. Non dev'essere invece assolutamente permesso l'accesso alle risorse di altri siti, caricate ad esempio nelle altre schede aperte con lo stesso browser.

La terza vulnerabilità emersa in occasione della manifestazione Pwn2Own, invece, sarà aggiornata in occasione del rilascio di Firefox 37 ma - tengono a precisare i tecnici di Mozilla - non può essere utilizzata da sola per far danni.


  1. Avatar
    Sampei Nihira
    24/03/2015 17:32:04
    Secondo me il fatto più allarmante,dopo i bugs nel OS Windows,resta ancora Flash. Che nonostante tutto resta un sw che mette a rischio l'integrità del sistema. Anche in questo caso l'adozione di un anti exploit è fortemente consigliato.
  2. Avatar
    guidogt
    24/03/2015 08:41:41
    sono d'accordo con te...chrome da quando è uscito ha più buchi di uno scolapasta... :mrgreen: e non lo hanno ancora sistemato, anzi è ancora presente un bug sin dalla sua creazione che consente ai soliti malintenzionati di fare una capatina nel nostro pc peraltro bug scoperto e mai risolto...in negozio vedo solo crome installato e spyware e malware che ci vanno a nozze cosa che con Explorer è molto ridotta, secondo me qualche pilotata a favore di chrome cè stata :popcorn:
  3. Avatar
    Sampei Nihira
    23/03/2015 19:12:36
    Chrome si è dimostrato il browser più robusto...........con un setting a default. :wink: Firefox non solo ha già patchato le vulnerabiltà suddette ma dotato di Noscript sarebbe stato protetto da entrambi gli attacchi. Come scrive anche Giorgio Maone nel proprio forum per la vulnerabilità domandata: https://forums.informaction.com/viewtop ... =7&t=20661 ed io presumo che sono pochi gli utenti che con Firefox non usano un estensione per porre sotto controllo gli script. Io addirittura ne uso 2 !!! :D Quindi dal mio punto di vista la questione è opposta. Sono stati e lo sono tutt'ora potenzialmente in pericolo gli utenti di........Chrome.
Pwn2Own: attaccati tutti i browser web. I dettagli - IlSoftware.it