Topic: Pwn2Own 2013: tutti "bucati", browser e plug-in!

[gialloporpora]

Sfida 2010: gli hacker "bucano" Firefox? Sì, ma quello di un anno fa....
Sfida 2011: gli hacker riusciranno a "bucare" Firefox?
Sfida 2012: Firefox sotto assedio!


Il prossimo è fra 6 settimane, quest'anno le regole sono cambiate.
http://bit.ly/WSMhpQ

Quest'anno hanno introdotto lo spread anche al Pwn2Own
a parte l'ovvio.

A working exploit against its Java plugin worth just 20% of the value of an exploit against Redmond's most recent browser.

Mozilla may be feeling a bit uncomfortable, too.
Pwnership of Firefox on Windows 7 is valued at only 60% of an attack against Google's Chrome on the same platform.

visto che si possono usare anche i plugin quest'anno ne vedremo delle belle.

[RNicoletto]

Belle le nuove regole!

[gialloporpora]

Hanno cominciato oggi, di solito comunque la prima giornata è di riscaldamento, gli attacchi più importanti dovrebbero arrivare domani.


Anche se, imo, non significa a priori che il primo bucato sia il peggiore, anzi, potrebbe pure essere un caso, ok, stavolta forse no
E il primo a cadere è… (non è un browser)

Edit: resoconto della prima giornata.
Attacco riuscito a Firefox su Windows 7 da parte dei vincitori della passata edizione, Vupen:

Chrome; Firefox; IE 10; Java; Win 8 fall at #pwn2own hackfest

Firefox was popped with a use-after-free vulnerability and a new technique that bypasses Address Space Layout Randomisation (ASLR) and Data Execution Prevention (DEP) in Windows, Vupen said.

Nonostante le 10 patch di sicurezza apportate negli scorsi giorni a Chrome si registra un attacco riuscito da parte di MWRLabs.

[deckard]

Belle le nuove regole!

Forse non è corretto che abbiano introdotto i plug-in, ma di fatto anche loro concorrono alla sicurezza del browser che ricorre a loro.
Vero è che non si tratta direttamente di una falla del browser, ma la falla comunque impatta sull'uso sicuro del programma e credo che l'utente debba esserne consapevole... una specie di consenso informato all'uso di un programma con i suoi componenti aggiuntivi (compresi quelli sviluppati da terzi... ).

[...]
Il prossimo è fra 6 settimane, quest'anno le regole sono cambiate.
http://bit.ly/WSMhpQ

Quest'anno hanno introdotto lo spread anche al Pwn2Own
a parte l'ovvio.
[...]

Credo di non avere capito che cosa tu intenda con "spread".

[gialloporpora]

Credo di non avere capito che cosa tu intenda con "spread".

Gli exploit non vengono più valutati allo stesso modo, in altre parole se buchi Chrome prendi il massimo (100000 $), se buchi solo Java 20000 (il minimo).

Chrome su Win7: 100k $
IE10 su Win8: 100k $
IE9 su Win7: 75k $
Safari su Mountain Lion: 65k $
Mozilla Firefox su Win7: 60k $

I plugin vanno bucati su IE:
Flash e Adobe Reader: 70k $
Java:  20k $

[deckard]

Cioè le vulnerabilità dirette (quelle del browser) sono le più gravi, soprattutto se affliggono le ultime versioni.
E la cosa, secondo me, ha una logica, magari non condivisibile, ma almeno sensata.
Java, Flash e Adobe Reader, per quanto siano dei prodotti distinti (per i quali, COME E' GIUSTO CHE SIA, non si fornisce supporto qui), influenzano comunque la stabilità e la sicurezza di un browser. Ed è giusto che gli utenti ne siano consapevoli.
Motivo per cui Mozilla aveva introdotto il Plugin-check.
Motivo per cui era stato introdotto un maggiore controllo sui componenti aggiuntivi installati da parti terze (con la possibilità di non consentire l'installazione delle estensioni).
Motivo per cui il Tor Browser disabilita per condizione predefinita i plugin e in particolar modo Flash (almeno fino a un po' di tempo fa)... per non dire che forse non sa neanche che cosa siano e che ci sono.
Etc...

@Gialloporpora Credo che l'idea di spread per come la consideri tu sia una cosa positiva.
Il mio mezzo centesimo bucato.

[gialloporpora]

Cioè le vulnerabilità dirette (quelle del browser) sono le più gravi, soprattutto se affliggono le ultime versioni.

Non credo sia la gravità la discriminante per stabilire l'ammontare della somma pagata (sono tutte falle altamente critiche che permettono di avere il pieno controllo sul computer), bensì la difficoltà nell'effettuare il crack, più vale più è considerato difficile.

[jooliaan]

http://www.geekissimo.com/2013/03/08/pwn2own-bucati-internet-explorer-chrome-firefox-safari/

[gialloporpora]

Intanto Mozilla ha già risolto la falla utilizzata da VUPEN per far cadere Firefox:

Mozilla and Pwn2own

Researchers successfully demonstrated new security vulnerabilities in all three browsers tested -  Firefox, Chrome and IE. At the conclusion of the event we received technical details about the exploit so we could issue a fix.

[gialloporpora]

Nel secondo giorno sono caduti anche Flash e Adobe reader, più un'altra volta Java (per un totale di 4 tentativi andati a buon fine).
L'unico che sopravvive è Safari che è anche l'unico a non girare su Windows (7 o 8 che sia).


PWN2OWN results Day Two - Adobe Reader and Flash owned, Java felled yet again — nakedsecurity.sophos.com — Readability

Day Two ended in a similar fashion to Day One, with everyone who went in to bat slugging the ball into the crowd.

[miki64]

Da profano, mi sembra che le cose  - anziché migliorare - peggiorino: stavolta hanno bucato i browser in quattro e quattr'otto o mi sbaglio?

[deckard]

[...]
L'unico che sopravvive è Safari che è anche l'unico a non girare su Windows (7 o 8 che sia).
[...]

Strano,... credevo che vi fosse una versione per Windows e che fosse pure compatibile con il 7, anche se sono rimasto fermo a qualche tempo fa... ma magari ricordo male io

[ziobubu]

Non ricordo di preciso, ma sono quasi sicuro abbiano smesso di sviluppare Safari per Windows. La versione esiste, ma è vecchia di qualche mese e perciò non l'avranno considerata.

[gialloporpora]

Da profano, mi sembra che le cose  - anziché migliorare - peggiorino: stavolta hanno bucato i browser in quattro e quattr'otto o mi sbaglio?

La velocità non è il problema, se non ho capito male quest'anno solo il primo exploit ai browser veniva pagato, quindi meglio affrettarsi.

Per Safari: boh, ha lo stesso engine di Chrome (senza le protezioni aggiuntive di Chrome), giocarsi 35k € in più su Chrome credo convenisse, in più, visto che qualche problema lato OS aiuta sempre, forse si sono concentrati di più  sugli altri che giravano tutti su Windows.

[miki64]

Pwn2Own, ancora buchi per Reader e Flash.
Due dei prodotti più popolari di Adobe bersagliati dai cacciatori di bug intervenuti alla conferenza CanSecWest: per Reader si parla di un nuovo buco nella sandbox, mentre Flash migliora ma qualche bucherello non se lo fa mai mancare