Giuseppe Arcidiacono Blog


Blog Diario Virtuale
Gallerie

Accedi alle gallerie!
Links
Statistiche
  • Views Home Page: 212.416
  • Views Posts: 615.901
  • Views Gallerie: 2.857
  • n° Posts: 192
  • n° Commenti: 84
Categorie
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

Pwn2Own, la mattanza dei browser

Roma - Quasi nelle stesse ore in cui Microsoft annunciava la disponibilità al pubblico di Internet Explorer 8, la nuova release del browser web più usato di sempre cadeva vittima dei tentativi di ownage di un hacker semisconosciuto. Si è presentato solo con il proprio nickname ed è riuscito, en passant, a fare fuori il succitato MS IE, Firefox e Safari nel giorno 1 del contest Pwn2Own, puntualmente ospitato alla conferenza CanSecWest e sponsorizzato dalla società di sicurezza Tipping Point.

Nils, questo il nick dell'hacker che IRL fa lo studente all'Università di Oldenburg, ha confezionato un exploit che gli ha permesso di avere ragione di Explorer 8 con attacco basato su un download forzato, attraverso cui è passato il codice con cui è stata ownata una delle macchine messe a disposizione del contest, un Sony Vaio con installata una build (certo non definitiva) di Windows Seven.

Oltre a IE, Nils ha successivamente messo a segno l'ownaggio di Safari e Firefox, rafforzando la propria vittoria ed evidenziando l'apparente incapacità strutturale di un browser moderno di essere privo di difetti o falle. "Non è così facile come alcuni anni fa - ha dichiarato l'hacker - tuttavia, i browser continuano ad avere un mucchio di problemi. Davvero si tratta di un bel po' di codice esposto su Internet".

Oltre che a Nils, a ogni modo, il day-1 del Pwn2Own 2009 ha consegnato l'alloro a Charlie Miller, attualmente analista di sicurezza della società Independent Security Evaluations che è stato capace di buttare giù Safari 4 in soli 10 secondi guadagnando il pieno controllo di un MacBook. Miller, che già aveva fatto faville nella precedente edizione del contest, dice di aver scoperto il baco l'anno scorso e di essersi dunque preparato per tempo alla manifestazione. "Non è una cosa facile, ma ha funzionato con un solo click" dice Miller descrivendo l'exploit basato su una "semplice" risorsa URL malevola.

Com'è tradizione, il codice utilizzato all'interno di Pwn2Own è stato passato alle aziende interessate (quindi Microsoft, Mozilla ed Apple) perché possano porvi rimedio quanto prima. Oltre alla gloria, Nils e Miller ci hanno guadagnato le macchine che sono riusciti a conquistare e 5.000 dollari ciascuno.

Nella speranza che i due si accontentino di tale bottino senza provare a far fruttare diversamente gli exploit come successo lo scorso anno, gli esperti mettono in guardia sull'esistenza di un vero e proprio mercato nero delle vulnerabilità dei browser dove una falla sufficientemente affidabile, da sfruttare per diffondere ogni genere di nefandezza informatica, può arrivare a valere 100mila dollari.

fonte : http://punto-informatico.it
Categoria: Browser
venerdì, 20 mar 2009 Ore. 12.42
Calendario
febbraio 2025
lmmgvsd
272829303112
3456789
10111213141516
17181920212223
242526272812
3456789
Ora e Data
Archivio Posts
Anno 2010

Anno 2009

Anno 2008

Anno 2007

Anno 2006
Mappa
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003