Il Pwn2Own, l’hack-contest che si tiene ogni anno in Canada presso la conferenza CanSecWest, ha mietuto altre vittime illustri. Questa volta a cadere sotto le righe di codice degli hacker sono stati tutti i principali browser: Internet Explorer, Chrome e Firefox Safari, ma anche Windows 8 e – sorpresa delle sorprese – Java. Si tratta di tutte vulnerabilità zero-day sfruttate tramite computer equipaggiati con Windows 7, Windows 8 ed OS X Mountain Lion aggiornati fino all’ultima patch.
Entrando nel dettaglio, in Internet Explorer 10 sono state trovate due vulnerabilità che hanno consentito di bypassare la sandbox di Windows 8 Pro su Surface. In Firefox, invece, è stato trovato un exploit che consente di bypassare le protezioni ASLR/DEP di Windows 7 senza bisogno di ROP. Entrambe le falle sono state scoperte dall’azienda francese VUPEN Security.
I britannici di MWR Labs sono riusciti a “bucare” Chrome su Windows 7 bypassando la sandbox del browser mediante una pagina Web infetta. Si sono così garantiti un premio in denaro pari a 100.000 dollari. Ma questa non è stata l’unica lauta ricompensa elargita nel contest.
Anche gli scopritori delle falle in Explorer 10 su Windows 8 hanno ricevuto 100.000 bigliettoni, mentre 75.000 dollari sono stati destinati agli hacker che hanno “bucato” Internet Explorer 9 su Windows 7 e 60.000 agli hacker che hanno scoperto la falla di Firefox. 65.000 dollari erano stati messi in palio per colpire Safari ma il browser Apple non è stato “bucato”.
In totale, sono stati consegnati premi in denaro per oltre mezzo milione di dollari. D’altronde, la sicurezza si paga.
Aggiornamento: Safari non è stato “bucato”, come avevamo riportato erroneamente nella prima stesura del post. Grazie a DocKuro per la segnalazione e per il link di conferma. Ci scusiamo per l’errore.
#1DocKuro
Peccato che Safari non sia stato bucato… e anche l’articolo linkato dice che 65.000$ sono i soldi in palio, non quelli elargiti.
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157
#2@naqern (Andrea Guida)
@DocKuro: grazie per la segnalazione, il post è stato appena corretto.