Sicurezza, bastano pochi minuti per forzare i browser

Alla manifestazione “Pwn2Own” cadono, sotto i colpi degli hacker, Apple Safari, Microsoft Internet Explorer 8 e Mozilla Firefox. Si salva solo Google Chrome.

Ai partecipanti alla manifestazione Pwn2Own sono bastati pochi minuti per "forzare" browser come Apple Safari, Microsoft Internet Explorer 8 e Mozilla Firefox.

I primi a portare a termine con successo il loro "attacco", sono stati il 22enne italiano Vincenzo Iozzo e Ralf-Philipp Weinmann. Lo annuncia un portavoce di 3Com-TippingPoint, l'azienda attiva nel campo della sicurezza informatica che ha organizzato l'evento. Al duo è stato assegnato un premio in denaro pari a 15.000 dollari.

Weinmann è balzato agli onori delle cronache nel 2007 per aver dimostrato, insieme con altri due ricercatori, un approccio molto più rapido ed efficiente per violare reti Wi-Fi protette con l'algoritmo WEP, oggi considerato assolutamente insicuro.

La coppia Iozzo-Weinmann ha preso di mira un iPhone riuscendo, con un attacco mirato, a sottrarre il contenuto dell'archivio dei messaggi SMS. Per far leva sulla vulnerabilità, già studiata nel corso delle ultime due settimane dai ricercatori, è stato sufficiente visitare, servendosi dell'iPhone, un sito web opportunamente congeniato.



E' stato invece Charlie Miller a "far cadere" Safari su un sistema MacBook Pro con il sistema operativo "Snow Leopard" aggiundicandosi un premio per la terza volta consecutiva (era già accaduto nelle edizioni 2008 e 2009 di Pwn2Own).



TippingPoint ha definito "tecnicamente impressionante" la vulnerabilità individuata da Peter Vreugdenhil in Internet Explorer 8, su piattaforma Windows 7. Il ricercatore è infatti riuscito a sfruttare una lacuna di sicurezza che gli ha permesso di "dribblare" la funzionalità di protezione Data Execution Prevention (DEP) e di eseguire codice nocivo.



Ha tirato le fila un giovane hacker tedesco, conosciuto solo con il nome di battesimo - Nils -, che ha forzato il browser Mozilla Firefox, sempre su piattaforma Windows 7.



Durante il primo giorno di Pwn2Own l'unico browser ad "aver retto" agli urti dei partecipanti sembra essere stato Google Chrome.



Com'è ovvio, TippingPoint non ha fornito o non offrirà i dettagli tecnici circa le vulnerabilità individuate nei vari software. Ha invece acquisito i diritti su tali vulnerabilità e sui codici exploit, messi a punto dai partecipanti al concorso "Pwn2Own", che consentono di sfruttarle. TippingPoint girerà tutte le informazioni circa le falle di sicurezza individuate ai rispettivi produttori affinché le vulnerabilità possano essere prontamente sanate nelle prossime versioni dei vari browser.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here