Edge, Chrome e Safari attaccati durante una gara fra hacker simile a Pwn2Own

I ricercatori cinesi si sono storicamente sempre messi in grande evidenza nel corso dell’evento Pwn2Own, competizione tra hacker che ha come scopo quello di riuscire a trovare nuove falle in alcuni tra i software più utilizzati, browser web compresi.
Il governo di Pechino ha però recentemente proibito ai cittadini cinesi la partecipazione ad eventi internazionali come Pwn2Own. Così, è recentemente nata la manifestazione Tianfu Cup, organizzata in Cina e con regole molto simili a quelle di Pwn2Own.
In questo modo gli studiosi estremo-orientali hanno potuto continuare a mostrare le loro abilità.

L’edizione 2019 dell’evento si è appena conclusa con la conferma della scoperta di alcune falle di sicurezza in Edge, Chrome e Safari. Nel caso del browser Microsoft (la versione basata sul motore EdgeHTML, non quella nuova costruita sulle fondamenta di Chromium) i ricercatori hanno scoperto tre vulnerabilità critiche. Le prime due consentono di eseguire codice in modalità remota (RCE), la seconda di superare i confini della sandbox e, di conseguenza, aggredire l’intero sistema.

Nel caso di Chrome le falle critiche sono due mentre un grave problema di sicurezza riguarda Safari.

Da qualche tempo a questa parte, la maggioranza delle aziende che sviluppano software inviano i loro tecnici per assistere alle dimostrazioni svolte durante le edizioni di Pwn2Own. L’obiettivo è ovviamente quello di rendersi subito conto dei problemi di sicurezza scoperti e attivarsi subito per risolverli a brevissimo termine.
Nel caso della Tianfu Cup, sembra che fossero presenti solo gli sviluppatori di Google; altamente probabile che le aziende comincino a partecipare nel corso dei prossimi anni.

This is literally just, like, a hundred Chinese security researchers testing their 0days in competition against modern software targets. It is probably the densest collection of 0days per sqm in the world, and I’ve seen only one organic tweet about it.

Infosec Twitter, wtf?!? https://t.co/781cepNPy6

— thaddeus e. grugq (@thegrugq) November 15, 2019

Diverse lacune di sicurezza sono state scoperte in Office 365, Adobe PDF Reader, VMware Workstation, nell'”accoppiata” qemu-kvm più Ubuntu. Pochi i dettagli di natura strettamente tecnica che saranno rilasciati dopo la risoluzione delle vulnerabilità.
Gli hacker, nel frattempo, sono stati premiati con premi da migliaia di dollari per ciascuna falla di sicurezza. Le tre falle individuate in Edge hanno fruttato, nel loro complesso, 65.000 dollari.