Pwn2Own, "violati" tutti i principali browser web

L'edizione 2014 di Pwn2Own, competizione organizzata annualmente da Zero-Day Initiative (sponsorizzata da HP) e riservata ai ricercatori in materia di sicurezza informatica di tutto il mondo, si è appena conclusa.
Pwn2Own,

L’edizione 2014 di Pwn2Own, competizione organizzata annualmente da Zero-Day Initiative (sponsorizzata da HP) e riservata ai ricercatori in materia di sicurezza informatica di tutto il mondo, si è appena conclusa. Anche quest’anno gli esperti hanno provato, riuscendoci, a violare le misure di sicurezza imposte da software quali Internet Explorer, Firefox, Chrome, Safari, Adobe Flash e Reader. I vari contendenti hanno dovuto dimostrare l’utilizzo di falle di sicurezza “inedite” per far breccia nelle varie applicazioni ed eseguire codice nocivo (superando eventuali meccanismi di sandboxing, ove presenti): vietato insomma utilizzare vulnerabilità già note.

Ancora una volta, quindi, l’iniziativa Pwn2Own mette bene in luce come anche il software considerato più sicuro possa essere oggetto d’attacco, se oggetto di analisi da approfondite da parte di un team di ricercatori ben organizzati e motivati.

Gli “sponsor” di Pwn2Own hanno messo sul piatto, complessivamente, la somma di un milione di dollari che è stata suddivisa fra tutti coloro che hanno scoperto nuove vulnerabilità nei software oggetto della gara.

Sono i franco-statunitensi di Vupen Security ad aver ottenuto il premio in denaro più importante: 400.000 dollari. Il ricercatore Chaouki Bekrar, responsabile del laboratorio di Vupen, ha commentato che al di là del riconoscimento economico, iniziative come Pwn2Own sono importanti perché sono un ottimo spunto per il miglioramento di ciascun software preso in esame. Le società sviluppatrici, infatti, utilizzando le segnalazioni dei ricercatori, hanno modo di rendere ancora più sicuri i loro prodotti.

Durante la competizione, Firefox è stato il prodotto complessivamente più preso di mira con 4 attacchi andati a buon fine (esecuzione di codice potenzialmente dannoso ed acquisizione di privilegi più elevati). Le misure di difesa di Internet Explorer e di Adobe Flash sono state superate in due diversi attacchi mentre quelle di Chrome, Safari ed Adobe Reader in una sola occasione.
Nel caso di Internet Explorer, Chrome, Safari, Adobe Flash ed Adobe Reader è stata violata la sandbox provocando l’esecuzione di codice arbitrario sul sistema in uso.
Il browser di Google è stato violato con successo anche una seconda volta ma i giudici di Pwn2Own hanno ritenuto non ratificare l’attacco perché, per bersagliare Chrome, era stato in parte utilizzato codice exploit già noto.

Ti consigliamo anche

Link copiato negli appunti