Pwn2Own 2012, cade anche Internet Explorer 9

Dopo il clamoroso crollo di Chrome nel primo giorno della competizione, il Pwn2Own di Vancouver ci regala un altro bel browser “bucato”. Si tratta di Internet Explorer 9 e a colpirlo sono stati sempre loro, i ragazzi del team francese VUPEN, che a quanto pare vogliono fare bottino pieno.

Il browser di casa Microsoft è stato affondato grazie all’exploit di due diverse vulnerabilità zero-day tramite le quali è stato possibile oltrepassare le protezioni di DEP ed ASLR su un PC con Windows 7 SP1 super-aggiornato e “bucare” la sandbox della Modalità Protetta del programma.


L’attacco con esecuzione di codice, che non richiede interventi da parte dell’utente, è stato eseguito con successo anche sulla versione di Internet Explorer 10 inclusa in Windows 8 Consumer Preview e funziona su tutte le versioni di IE, dalla 6 in poi. Per elaborarlo c’è voluto un lavoro di circa due settimane.

È stato difficile, ha detto il co-fondatore di VUPEN,  Chaouki Bekrar, interrogato sul riuscito attacco ad IE. “Quando devi combinare molte vulnerabilità e bypassare tutte quelle protezioni, ci vuole un tempo abbastanza lungo“. L’importante comunque per il team di Bekrar è “dimostrare che degli hacker dedicati possono bypassare tutte le misure di sicurezza, anche quelle dei sistemi più aggiornati“. E quest’anno ci sono ampiamente riusciti.

Pwn2Own a parte, il futuro di Internet Explorer sembra altalenante. Se da un lato Internet Explorer 10 si è dimostrato – parole di Bekrar – molto più difficile da bucare, in Internet Explorer 9 sono state trovate molte altre vulnerabilità non ancora note nella Modalità Protetta del browser.

In ogni caso, adesso Microsoft è pronta ad intervenire. Non appena riceverà i dettagli sulle due falle scoperte da VUPEN, realizzerà i dovuti rattoppi che troveremo su Windows Update nelle prossime settimane.

[Via | ZDNet]