Articoli

Non solo Google Chrome è “caduto”, anche Internet Explorer 9 è stato una vittima alla gara internazionale Pwn2Own 2012. È sempre il team Vupen a scovare due differenti vulnerabilità zero-day per superare le difese di Internet Explorer 9 su Windows 7 (SP1), ma sembra che l’hack funzioni anche sulla beta di Internet Explorer 10 contenuta nella versione trial di Windows 8.

L’exploit in questione ha richiesto circa sei settimane di lavoro ma per l’attacco vero e proprio è bastato inserire il codice preparato all’interno di una pagina web. Una volta che IE9 ha caricato la pagina, le protezioni ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention) di Seven sono state immediatamente aggirate, senza nessun altro intervento dal lato utente.

Fonte | Punto Informatico

Il Pwn2Own è una competizione tra Hacker che si svolge ogni anno in Canada, lo scopo di questa competizione è di trovare exploit all’interno di applicazioni in particolar modo i Browser e gli strumenti di uso quotidiano come gli Smartphone.

L’edizione del 2012 è iniziata il 7 Marzo 2012 e terminerà sabato venerdì 9 Marzo, con un amara sorpresa per l’imbattuto Chrome che aveva spinto Google ad offrire 1 milione di dollari al Team in grado di scovare una vulnerabilità nel Browser di Mountain View.

Dopo soli 5 minuti dall’inizio della competizione la squadra sponsorizzata dalla Vupen ha fatto crollare il Browser, l’infrangibile muro che ha visto sul podio per 3 anni di fila Chrome è così stato scalfito. Il team si poterà a casa una cifra attorno ai 60 mila dollari e accumula 32 punti per la competizione.

I dettagli dell’exploit non sono noti, ma il Team assicura di aver sfruttato esclusivamente vulnerabilità di Chrome senza appoggiarsi a risorse esterne. Le prime indiscrezioni parlano di un exploit nella SandBox che avrebbe consentito al team di eseguire un proprio codice malevolo.

Per qualsiasi altra novità sulla competizione rimanete collegati….

Si è concluso il Pwn2Own, l’ormai nota competizione di hacking che si tiene alla conferenza sulla sicurezza informatica CanSecWest, gli Hacker più importanti hanno dimostrato le loro ottime conoscenze mettendo in ginocchio i sistemi informatici più diffusi.

Il primo Browser exploitato è stato Safari di Apple, la società VUPEN infatti dimostrato la possibilità di salvare un file sull’hard disk ed eseguirlo eludendo la sandbox il tutto avveniva senza interrompere la navigazione  o mandando in crash il browser. Nelllo stesso giorno anche Internet Explorer 8 è stato preso di mira dalla società  Harmony Security ovviamente mandandolo a tappeto.

Il secondo giorno Charlie Miller e Dion Blazakis hanno dimostrato una vulnerabilità del sistema operativo iOS di Apple (iPhone, iPad, iPod Touch) l’exploit permetteva di accedere a dati sensibili contenuti nel dispositivo tramite Safari, è stata dimostrata la lettura della rubrica indirizzi personale visitando un sito internet creato ad hoc.

Il terzo giorno a crollare è stato il sistema BlackBerry della RIM con una stretta collaborazione tra Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann riuscendo ad exploitare un BlackBerry Torch 9800 tramite una falla del browser WebKit.

Escono da vincitori da questa competizione Mozilla Firefox poichè l’exploit presentato da Sam Thomas è risultato instabile. AndroidWindows Mobile 7 e Chrome sono stati completamente indenni da qualsiasi vulnerabilità.

Il bollettino di guerra del Pwn2Own 2010 è impietoso: i browser più diffusi sono stati bucati al primo colpo. Safari, Internet Explorer 8, Firefox hanno resistito pochi secondi. L’unico browser a essere rimasto indenne è Chrome, a dimostrazione che l’isolamento dei processi è servito a Google per rendere davvero più sicuro della concorrenza il proprio software.

Continua a leggere

Anche quest’anno, come di consueto, si svolgerà il concorso annuale di hacking Pwn2Own. Nel corso della manifestazione verrà data la possibilità ai concorrenti di vincere premi in denaro, per un totale di 15,000$, per chiunque riesca ad accedere ad un iPhone, BlackBerry Bold, Droid e Nokia senza compromettere la sicurezza del dispositivo.

Il concorso avrà inizio il 24 marzo prossimo presso CanSecWest a Vancouver e l’obiettivo è quello di riuscire ad eseguire del codice in remoto, riuscendo a controllare il device ma senza alcuna interazione con l’utente. Come già detto, il vincitore riuscirà ad accaparrarsi un premio di 10,000$.

Fonte