5665 Letture

Pwn2Own, "violati" tutti i principali browser web

L'edizione 2014 di Pwn2Own, competizione organizzata annualmente da Zero-Day Initiative (sponsorizzata da HP) e riservata ai ricercatori in materia di sicurezza informatica di tutto il mondo, si è appena conclusa. Anche quest'anno gli esperti hanno provato, riuscendoci, a violare le misure di sicurezza imposte da software quali Internet Explorer, Firefox, Chrome, Safari, Adobe Flash e Reader. I vari contendenti hanno dovuto dimostrare l'utilizzo di falle di sicurezza "inedite" per far breccia nelle varie applicazioni ed eseguire codice nocivo (superando eventuali meccanismi di sandboxing, ove presenti): vietato insomma utilizzare vulnerabilità già note.

Ancora una volta, quindi, l'iniziativa Pwn2Own mette bene in luce come anche il software considerato più sicuro possa essere oggetto d'attacco, se oggetto di analisi da approfondite da parte di un team di ricercatori ben organizzati e motivati.


Gli "sponsor" di Pwn2Own hanno messo sul piatto, complessivamente, la somma di un milione di dollari che è stata suddivisa fra tutti coloro che hanno scoperto nuove vulnerabilità nei software oggetto della gara.

Sono i franco-statunitensi di Vupen Security ad aver ottenuto il premio in denaro più importante: 400.000 dollari. Il ricercatore Chaouki Bekrar, responsabile del laboratorio di Vupen, ha commentato che al di là del riconoscimento economico, iniziative come Pwn2Own sono importanti perché sono un ottimo spunto per il miglioramento di ciascun software preso in esame. Le società sviluppatrici, infatti, utilizzando le segnalazioni dei ricercatori, hanno modo di rendere ancora più sicuri i loro prodotti.

Durante la competizione, Firefox è stato il prodotto complessivamente più preso di mira con 4 attacchi andati a buon fine (esecuzione di codice potenzialmente dannoso ed acquisizione di privilegi più elevati). Le misure di difesa di Internet Explorer e di Adobe Flash sono state superate in due diversi attacchi mentre quelle di Chrome, Safari ed Adobe Reader in una sola occasione.
Nel caso di Internet Explorer, Chrome, Safari, Adobe Flash ed Adobe Reader è stata violata la sandbox provocando l'esecuzione di codice arbitrario sul sistema in uso.
Il browser di Google è stato violato con successo anche una seconda volta ma i giudici di Pwn2Own hanno ritenuto non ratificare l'attacco perché, per bersagliare Chrome, era stato in parte utilizzato codice exploit già noto.

  1. Avatar
    Luke_87
    25/06/2015 13:20:37
    Molto interessante, però secondo me sarebbe interessante vedere se e come, queste vulnerabilità di firefox possano essere utilizzate con il browser che utilizza: NoScript (disabilitando quindi tutti i contenuti potenzialmente dannosi, flash, java, ecc...), HttpsEveryWhere, e settati alcuni parametri in about:config che costringono l'utilizzo di protocolli più sicuri, tipo il TLS (in riferimento alle vulnerabilità dell'SSL3), o comunque con tutti i suggerimenti per Hardenizzare il browser. Io sono dell'idea che ovviamente tutto può essere attaccabile in qualche modo, ma se appunto uno si mette al riparo da java, javascript e chi più ne ha più ne metta, dato che mi pare di capire sono i principali modi per infettare un sistema remoto, dubito che certi tipi di attacchi (pericolosi e molto comuni) possano essere utilizzati.
  2. Avatar
    Sampei Nihira
    14/03/2014 15:55:37
    Michele sei un portento,hai diffuso questa notizia con una tempestività a dir poco prodigiosa. :approvato: E visto che la storia spesso si ripete (e mai detto, nel caso del Pwn2Own, è così veritiero) non è notizia che mi coglie impreparato. Ecco un passaggio che merita di essere sottolineato:
    Citazione: .....Durante la competizione, Firefox è stato il prodotto complessivamente più preso di mira con 4 attacchi andati a buon fine (esecuzione di codice potenzialmente dannoso ed acquisizione di privilegi più elevati).....
    E' una notizia ovvia. Firefox per le sue caratteristiche intrinseche e sopratutto per il fatto che la manifestazione si svolge con i browser nella loro configurazione a default è il browser più esposto specie nei OS Windows dopo XP. Sotto un esercizio di Mr Brian con le istruzioni per disporre la modalità protetta in Firefox: http://www.wilderssecurity.com/showthread.php?t=357417 esercizio che presumo sia più teorico che pratico perchè ritengo che nei OS Windows dopo XP sia meglio per chunque usare Chrome.
Pwn2Own,