Pwn2Own, “bucati” Internet Explorer, Chrome e Firefox

Il Pwn2Own, l’hack-contest che si tiene ogni anno in Canada presso la conferenza CanSecWest, ha mietuto altre vittime illustri. Questa volta a cadere sotto le righe di codice degli hacker sono stati tutti i principali browser: Internet Explorer, Chrome e Firefox Safari, ma anche Windows 8 e – sorpresa delle sorprese – Java. Si tratta di tutte vulnerabilità zero-day sfruttate tramite computer equipaggiati con Windows 7, Windows 8 ed OS X Mountain Lion aggiornati fino all’ultima patch.


Entrando nel dettaglio, in Internet Explorer 10 sono state trovate due vulnerabilità che hanno consentito di bypassare la sandbox di Windows 8 Pro su Surface. In Firefox, invece, è stato trovato un exploit che consente di bypassare le protezioni ASLR/DEP di Windows 7 senza bisogno di ROP. Entrambe le falle sono state scoperte dall’azienda francese VUPEN Security.

I britannici di MWR Labs sono riusciti a “bucare” Chrome su Windows 7 bypassando la sandbox del browser mediante una pagina Web infetta. Si sono così garantiti un premio in denaro pari a 100.000 dollari. Ma questa non è stata l’unica lauta ricompensa elargita nel contest.

Anche gli scopritori delle falle in Explorer 10 su Windows 8 hanno ricevuto 100.000 bigliettoni, mentre 75.000 dollari sono stati destinati agli hacker che hanno “bucato” Internet Explorer 9 su Windows 7 e 60.000 agli hacker che hanno scoperto la falla di Firefox. 65.000 dollari erano stati messi in palio per colpire Safari ma il browser Apple non è stato “bucato”.

In totale, sono stati consegnati premi in denaro per oltre mezzo milione di dollari. D’altronde, la sicurezza si paga.

Aggiornamento: Safari non è stato “bucato”, come avevamo riportato erroneamente nella prima stesura del post. Grazie a DocKuro per la segnalazione e per il link di conferma. Ci scusiamo per l’errore.

[SC Magazine]