Articoli

Si è concluso il Pwn2Own, l’ormai nota competizione di hacking che si tiene alla conferenza sulla sicurezza informatica CanSecWest, gli Hacker più importanti hanno dimostrato le loro ottime conoscenze mettendo in ginocchio i sistemi informatici più diffusi.

Il primo Browser exploitato è stato Safari di Apple, la società VUPEN infatti dimostrato la possibilità di salvare un file sull’hard disk ed eseguirlo eludendo la sandbox il tutto avveniva senza interrompere la navigazione  o mandando in crash il browser. Nelllo stesso giorno anche Internet Explorer 8 è stato preso di mira dalla società  Harmony Security ovviamente mandandolo a tappeto.

Il secondo giorno Charlie Miller e Dion Blazakis hanno dimostrato una vulnerabilità del sistema operativo iOS di Apple (iPhone, iPad, iPod Touch) l’exploit permetteva di accedere a dati sensibili contenuti nel dispositivo tramite Safari, è stata dimostrata la lettura della rubrica indirizzi personale visitando un sito internet creato ad hoc.

Il terzo giorno a crollare è stato il sistema BlackBerry della RIM con una stretta collaborazione tra Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann riuscendo ad exploitare un BlackBerry Torch 9800 tramite una falla del browser WebKit.

Escono da vincitori da questa competizione Mozilla Firefox poichè l’exploit presentato da Sam Thomas è risultato instabile. AndroidWindows Mobile 7 e Chrome sono stati completamente indenni da qualsiasi vulnerabilità.

Krystian Kloskowski ha recentemente scoperto una nuova vulnerabilità che affligge il Browser Safari per Windows che permette l’esecuzione di codice malevolo a piacimento del lamer.

Il codice sfrutta una vulnerabilità nell’evento di chiusura dei PopUp , attualmente confermata su Safari 4.0.5.

A questo link troverete l’exploit ed un esempio per l’esecuzione della calcolatrice di Windows.

Matthew Bergin ha recentemente individuato l’ennesima falla di Safari per iPhone, sistema ormai sotto osservazione da diverso tempo visto il crescente flusso di dati tramite iPhone.

L’exploit funziona esclusivamente su iPhone 3G e versione Firmware 3.1.2, tramite un Denial of Service produce un Crash e la chiusura immediata di Safari portando alla perdita di dati eventualmente salvati nella medesima sessione (cookie, sessioni aperte, dati salvati, ecc ecc).

Come di consueto vi prononiamo l’exploit integrale dopo il salto…

Continua a leggere

Il bollettino di guerra del Pwn2Own 2010 è impietoso: i browser più diffusi sono stati bucati al primo colpo. Safari, Internet Explorer 8, Firefox hanno resistito pochi secondi. L’unico browser a essere rimasto indenne è Chrome, a dimostrazione che l’isolamento dei processi è servito a Google per rendere davvero più sicuro della concorrenza il proprio software.

Continua a leggere