Sicurezza informatica Pwn2Own: tutti vulnerabili, si salva solo Chrome (1 Viewer)

Goofy

Goofy

Moderator
Articolo

Tra i browser per computer presenti al concorso, solo Google Chrome è rimasto "in piedi" il primo giorno.
Clicca per allargare...

:D..che sia di lezione a chi non piace Chrome

Charlie Miller, vincitore delle passate edizioni e famoso per aver parlato di 20 falle di tipo zero day in Mac OS (Mac OS X colabrodo, ha 20 falle zero day), si è portato a casa 10 mila dollari dopo aver "bucato" Safari su un MacBook Pro. L'attacco è stato commesso in remoto, senza avere accesso fisico al sistema.

Peter Vreugdenhil, olandese, ha vinto anch'esso 10 mila dollari per aver oltrepassato le difese di Internet Explorer 8 su un Windows 7 a 64 bit aggiornato. La stessa cifra è andata a Nils (con molta umiltà ha deciso di non divulgare il proprio nome e cognome), ricercatore dell'azienda inglese MWR InfoSecurity, che ha sconfitto Firefox.

Infine, Ralf Philipp Weinmann dell'Università del Lussemburgo e Vincenzo Iozzo dell'azienda tedesca Zynamics (è italiano!) hanno "bucato" un iPhone non "jailbreakkato" (craccato per installare applicazioni al di fuori dell'App Store). I due si sono divisi un premio di 15 mila dollari.
Clicca per allargare...
 
Goofy

Goofy

Moderator
;)
Charlie Miller, vincitore delle passate edizioni e famoso per aver parlato di 20 falle di tipo zero day in Mac OS (Mac OS X colabrodo, ha 20 falle zero day), si è portato a casa 10 mila dollari dopo aver "bucato" Safari su un MacBook Pro. L'attacco è stato commesso in remoto, senza avere accesso fisico al sistema.

Peter Vreugdenhil, olandese, ha vinto anch'esso 10 mila dollari per aver oltrepassato le difese di Internet Explorer 8 su un Windows 7 64 bit aggiornato con le ultime patch di sicurezza. La stessa cifra è andata a Nils (con molta umiltà ha deciso di non divulgare il proprio nome e cognome), ricercatore dell'azienda inglese MWR InfoSecurity, che ha sconfitto Firefox.

Infine, Ralf Philipp Weinmann dell'Università del Lussemburgo e Vincenzo Iozzo dell'azienda tedesca Zynamics (è italiano!) hanno "bucato" un iPhone non "jailbreakkato" (craccato per installare applicazioni al di fuori dell'App Store). I due si sono divisi un premio di 15 mila dollari.

Charlie Miller, poco loquace dopo il contest, ha dichiarato che il MacBook Pro è stato compromesso visitando un sito web con codice maligno. Vreugdenhil ha invece sfruttato due vulnerabilità in IE8 con "un attacco a quattro parti che ha richiesto di bypassare la tecnologia ASLR (Address Space Layout Randomization) ed evitare la DEP (Data Execution Prevention). Aggirate le due tecnologie di sicurezza, è bastato visitare una pagina con un codice maligno per portare a termine l'attacco". Il ricercatore ha condiviso su un documento PDF la tecnica usata per aggirare IE8.

Nils ha sfruttato una vulnerabilità corruption memory e ha anch'esso aggirato ASLR e DEP per via della "debole" implementazione nel browser Mozilla.
Clicca per allargare...

Safari su un MacBook Pro ..è stato compromesso visitando un sito web con codice maligno

Internet Explorer 8 su un Windows 7 64 bit....Vreugdenhil ha invece sfruttato due vulnerabilità in IE8 con "un attacco a quattro parti che ha richiesto di bypassare la tecnologia ASLR (Address Space Layout Randomization) ed evitare la DEP (Data Execution Prevention).

Firefox...Nils ha sfruttato una vulnerabilità corruption memory e ha anch'esso aggirato ASLR e DEP per via della "debole" implementazione nel browser Mozilla

a proposito, FF adesso ha un bug critico aperto, giusto? :lol:
 
Goofy

Goofy

Moderator
Google Chrome è il browser più difficile da “bucare”, ecco il responso della prima giornata di Pwn2Own 2010. L’ormai notissima sfida tra hacker in fase di svolgimento a Vancouver ha visto crollare uno dopo l’altro tutti i principali browser che usiamo quotidianamente per navigare sul web, meno uno, quello di “big G”, che non è stato ancora messo alla prova. Ma andiamo con ordine.

Il primo navigatore a cadere sotto i colpi degli hacker (senza accesso fisico alla macchina) è stato Safari 4 su Mac OS X Snow Leopard. A far breccia nel software cupertiniano ancora una volta l’immarcescibile Charlie Miller, che già aveva colto in fallo Safari l’anno scorso e che con il risultato di ieri si porta a casa un bel premio di 10.000 dollari.

Diecimila bigliettoni vanno anche all’olandese Peter Vreugdenhil, il quale ha strutturato un attacco su quattro livelli per bypassare le protezioni dei sistemi DEP ed ASLR e “bucare” così Internet Explorer 8 su Windows 7. Secondo quanto dichiarato da Vreugdenhil, ci è voluto meno di una settimana per dar vita all’exploit.




Allo studente tedesco Nills l’onore di smascherare una falla relativa alla corruzione della memoria in Firefox 3. Il browser del panda rosso è stato fatto girare su una versione a 64-bit di Windows 7 ed anche in questo caso la realizzazione dell’exploit non ha richiesto più di qualche giorno.

Come accennato, Google Chrome è l’unico navigatore fra quelli oggetto della competizione (Opera non c’è proprio) a non essere stato ancora toccato. Il motivo di questa scelta è semplice: come detto da Miller l’anno scorso, quello di Google è un browser le cui falle di sicurezza sono molto difficili da exploitare, questo vuol dire che gli hacker hanno preferito orientarsi prima su prodotti facilmente penetrabili – visti i dollaroni e i diversi laptop di primissima fascia in palio - per poi passare all’osso duro.

Non ci resta dunque, che aspettare gli avvenimenti dei prossimi due giorni del Pwn2Own 2010 e vedere cosa accadrà. Voi che vi aspettate?
Clicca per allargare...

Articolo
 
Goofy

Goofy

Moderator
Credo che il fatto che Chrome usi dei processi sandboxati abbia aiutato questo browser a passare indenne questa ardua prova

ergo usare il proprio browser sandboxato è un ulteriore livello di sicurezza da applicare se si vuole navigare tranquilli
 

s66

Forumer attivo
tanto x caxxeggiare ...........MA OPERA NON VIENE PROPRIO PRESO IN CONSIDERAZIONE ?!:lol:
 

s66

Forumer attivo
Goofy ha scritto:
Credo che il fatto che Chrome usi dei processi sandboxati abbia aiutato questo browser a passare indenne questa ardua prova

ergo usare il proprio browser sandboxato è un ulteriore livello di sicurezza da applicare se si vuole navigare tranquilli
Clicca per allargare...

sarà sicuramente come dici tu ! ma io un browser che manda alla casa madre le mie abitudini di navigazioni ? dico :STATTI A CASA!:cool:
 
Goofy

Goofy

Moderator
s66 ha scritto:
sarà sicuramente come dici tu ! ma io un browser che manda alla casa madre le mie abitudini di navigazioni ? dico :STATTI A CASA!:cool:
Clicca per allargare...




http://www.investireoggi.it/forum/e-uscito-chrome-4-per-windows-vt51497-4.html#post1399372
questa cosa già l'ho sentita o sbaglio?:D

allora rimane Opera che poichè non è stato testato si può sempre dire che l'avrebbe passata liscia :up:

p.s.
poi ho visto che l'hai fatto funzionare opera 10.51 con quel tuo video, vero? :D
quindi non era colpa del browser o di chi gli faceva pubblicità?

almeno un post in cui dicevi che avevi preso un abbaglio lo potevi pure fare :D
 
Ultima modifica:
Goofy

Goofy

Moderator
non poteva mancare l'articolo di Punto Informatico

Nel corso della prima giornata del Pwn2Own l'unico browser a non aver subito l'onta dell'hacking è stato Chrome 4. A parere di molti esperti, a rendere il browser di Google particolarmente resistente agli attacchi è la sua architettura basata su sandbox, concepita per impedire l'esecuzione di codice che apporto modifiche persistenti al sistema operativo o che acceda a dati sensibili.
Clicca per allargare...

quindi la sandbox serve a qualcosa? :D

Come già detto in passato, l'idea alla base di Plugin Check è quella di mostrare agli utenti quali plugin potrebbero contenere bug e vulnerabilità: versioni non aggiornate di questi componenti potrebbero minare la stabilità e la sicurezza di un browser, anche del più aggiornato. Il prossimo passo di Mozilla sarà quello di isolare il processo in cui girano i plugin dal resto del browser, in modo che se un plugin va in crash il browser resti in piedi. Una soluzione analoga è già stata implementata da Google in Chrome.
Clicca per allargare...

serve, serve usare il browser sandboxato
infatti la prossima versione di FF cercherà di copiare Chrome ;-)
 
Ultima modifica:

s66

Forumer attivo
Goofy ha scritto:
http://www.investireoggi.it/forum/e-uscito-chrome-4-per-windows-vt51497-4.html#post1399372
questa cosa già l'ho sentita o sbaglio?:D

allora rimane Opera che poichè non è stato testato si può sempre dire che l'avrebbe passata liscia :up:

p.s.
poi ho visto che l'hai fatto funzionare opera 10.51 con quel tuo video, vero? :D
quindi non era colpa del browser o di chi gli faceva pubblicità?

almeno un post in cui dicevi che avevi preso un abbaglio lo potevi pure fare :D
Clicca per allargare...
io Opera non l'avrei mai abbandonato!è comunque la mia CRITICA era rivolta sempre in modo propositivo! ho dovuto smanettare , è questo se mi permetti non una cosa comune a tutti!MA TU DA BUON INTENDITORE MI HAI GIA' INTESO! BUONA GIORNATA.:)
 
You must log in or register to reply here.

Users who are viewing this thread

Total: 2 (members: 0, guests: 2)
Alto