Pwn2Own 2013, anche Adobe Reader e Flash sono stati bucati

Dopo Internet Explorer, Google Chrome e Mozilla Firefox anche Adobe Reader e Adobe Flash sono stati bucati al Pwn2Own, l’hack-contest che si tiene ogni anno in Canada presso la conferenza CanSecWest.

Il giorno successivo a quello durante il quale i tre browser web sono “caduti sotto i colpi” degli hacker partecipanti al contest la società di sicurezza VUPEN è riuscita a superare anche la sandbox di Adobe Flash aggiudicandosi, in tal modo, un ricco bottino pari a 70 mila dollari.

Chaouki Bekrar, il CEO di VUPEN, ha dichiarato che Adobe sta facendo un ottimo lavoro nello sviluppo del suo plugin.

Oracle, invece, non presta la dovuta attenzione allo sviluppo del suo plugin e, diversamente da Adobe, Java può essere bucato senza problemi poiché non ha una sandobox.

Scrivere exploit è in generale molto più difficile. Java è davvero semplice perché non c’è la sandbox. Flash è differente, è sempre aggiornato e Adobe ha fatto davvero un buon lavoro per metterlo in sicurezza. È più costoso creare un exploit per Flash che per Java.

Adobe Reader, invece, è stato bucato da George Hotz, l’hacker famoso per aver craccato la PS3 nel 2010, ed anche in questo caso il premio assegnato era pari a 70 mila dollari.

George Hotz è riuscito ad eseguire codice arbitrario sul sistema target dopo aver superato le difese della sandbox di Adobe Reader XI, una tecnologia presente nel software dal 2010 che è stata poi aggiornata ulteriormente alla fine dello scorso anno.

Al momento, Adobe non ha rilasciato ancora delle patch ad hoc per Flash e Reader ma sicuramente saranno rese disponibili nel corso delle prossime ore.

[Photo Credits | Flickr]