Già al primo giorno del Pwn2Own,la nota sfida fra hacker che si tiene all'interno della conferenza sulla sicurezza CanSecWest tutte le versioni di internet explorer 8 e di Safari, nonostante le varie patch sono state violate poi è caduto anche Firefox 3 sotto Windows 7 a 64 bit ad opera dello studente tedesco Nils.
Il primo a cadere è stato Safari 5.0.3 che era su un computer con istallato Mac OS X 10.6.6, completamente aggiornato dal punto di vista patch. La società Vupen, è stata la prima ad attaccare il browser e dopo pochi minuti, che il browser ha visitato la pagina web con il codice maligno predisposto, è stata lanciata l'applicazione campione che doveva dimostrare come il codice maligno fosse penetrato nel sistema ed è stato scritto un file sul disco rigido per dimostrare che la sandbox era stato violata. Secondo la ditta Vupen però, l'impresa non è stata facile a causa del fatto che il sistema a 64 bit di Safari non è ampiamente documentato. I presunti hackers, però sono tenuti a non rivelare i sistemi utilizzati per violare i browser prima che i programmatori degli stessi non rilascino patch per il problema di vulnerabilità evidenziato. In ogni caso la società Vupen ha vinto la sfida ed i soldi.
Anche Internet Explorer 8 è stato violato da Stephen Fewer di Harmony Security , utilizzando la versione a 32 bit di Internet Explorer 8 su un computer con istallata una versione a 64 bit di Windows 7 Service Pack 1. La Microsoft aveva poi, all'ultimo minuto deciso di rinunciare alle patch. Il ricercatore ha detto di aver sfruttato tre distinte vulnerabilità: due per ottenere l'esecuzione con successo del codice all'interno del browser, e una terza per sfuggire Ialla sandbox di nternet Explorer Protected Mode.
Invece il ricercatore che doveva provare a violare Chrome, non si è presentato. Google, come abbiamo scritto aveva messo in palio una cifra maggiore per chi fosse riuscito a violare Chrome. Probabilmente però, l'uscita di Chrome 10, in cui erano state patchate 23 vulnerabilità ha messo in crisi il ricercatore che ha preferito non provare affatto.
Nessun commento:
Posta un commento