• Pwn2Own 2009: Safari, IE 8 e Firefox bucati in pochi secondi

    È durata una manciata di secondi la resistenza di Safari al Pwn2Own 2009, giusto il tempo di cliccare su un link. L’impresa di bucare Safari e prendere il controllo di un MacBook aggiornato alle ultime patch è opera di Charlie Miller, lo stesso che l’anno scorso aveva ridicolizzato la sicurezza del browser e del sistema operativo della Mela.

    Ma Safari non è stato l’unico bersaglio colpito, anche il nenonato Internet Explorer 8 ha ceduto di schianto seguito dopo poco anche da Firefox.

    Tra tutti e tre Safari è quello ad aver opposto la minore resistenza agli attacchi, come spiegato da Charlie Miller:

    Ci sono voluti un paio di secondi. Hanno cliccato su un link e hio preso il controllo della macchina

    Per quanto riguarda Internet Explorer 8 e Firefox, l’attacco andato a buon fine è opera di un hacker che si fa chiamare “Nils”. La vulnerabilità riscontrata in IE8 ha permesso il controllo di una macchina dotata di Windows 7.

    I dettagli tecnici delle vulnerabilità non verranno resi noti finché i team dei browser non avranno predisposto delle patch correttive, quindi al momento non dovrebbero esserci pericoli per gli utenti finali.

    Tutte le regole del Pwn2Own 2009 sono consultabili sul sito della CanSecWest 2009.

    Tags:

    Se vuoi aggiornamenti su Pwn2Own 2009: Safari, IE 8 e Firefox bucati in pochi secondi inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Piero dice:

      Scusate l’evntuale ignoranza ma basta fare site scripting per prendere il pieno controllo di un MAC? Non c’è niente in mezzo? Gestione ottimizzata degli utenti? Tecnologie di sanboxing?

    2. anonymous dice:

      Win 7 di default usa un UAC ad un livello più basso (meno sicuro) rispetto a Vista. Chissà che non sia per questo che l’exploit ha funzionato: un’altra falla nell’UAC-semplificato-per-principianti? di Win 7. Su Vista l’UAC crea un separazione netta e invalicabile tra utente di default (admin ma senza token…. e Admin, il vero amministratore con anche i token elevati su richiesta).

    3. Alessio dice:

      E su gli altri browser come è andata? Opera e Chrome ad esempio, come si sono comportati?

    Commenta

    Your email address will not be published. Required fields are marked *