Topic: Pwn2Own 2010: gli hacker "bucano" Firefox? Sì, ma quello di un anno fa...

[miki64]

Forse Mozilla ha voluto aggiornare il suo browser prima dell'avvio (24 marzo prossimo) dell'"hacking contest" sponsorizzato da TippingPoint che vedrà tutti i principali browser messi "sotto torchio" dai partecipanti? Gli organizzatori dell'evento "Pwn2Own" avevano comunque precisato che l'utilizzo del bug di sicurezza presente in Firefox 3.6 non sarebbe stato permesso ai concorrenti. Durante la manifestazione, infatti, non è consentito sfruttare vulnerabilità già note.
I prossimi saranno quindi giorni molto caldi per Firefox, Internet Explorer, Safari e Chrome: gli iscritti al concorso "Pwn2Own" tenteranno di far leva su vulnerabilità ancora sconosciute per eseguire codice arbitrario su alcuni sistemi di test. I vincitori della competizione si porteranno a casa il computer portatile messo a disposizione dagli organizzatori oltre ad un premio di 10.000 dollari in denaro.

Completiamo la notizia, da WinTricks.it.
Hacker contro browser: vince Chrome
L’unico browser a resistere agli attacchi è stato Google Chrome 4. Secondo gli esperti questa sua invulnerabilità è tutto merito della sua architettura basata su sandbox, che impedisce l’esecuzione di codice che possa modificare il sistema o accedere a dati sensibili.
Vi faccio notare che però manca Opera....

[Iceberg]

Forse Mozilla ha voluto aggiornare il suo browser prima dell'avvio (24 marzo prossimo) dell'"hacking contest" sponsorizzato da TippingPoint che vedrà tutti i principali browser messi "sotto torchio" dai partecipanti? Gli organizzatori dell'evento "Pwn2Own" avevano comunque precisato che l'utilizzo del bug di sicurezza presente in Firefox 3.6 non sarebbe stato permesso ai concorrenti. Durante la manifestazione, infatti, non è consentito sfruttare vulnerabilità già note.
I prossimi saranno quindi giorni molto caldi per Firefox, Internet Explorer, Safari e Chrome: gli iscritti al concorso "Pwn2Own" tenteranno di far leva su vulnerabilità ancora sconosciute per eseguire codice arbitrario su alcuni sistemi di test. I vincitori della competizione si porteranno a casa il computer portatile messo a disposizione dagli organizzatori oltre ad un premio di 10.000 dollari in denaro.

Completiamo la notizia, da WinTricks.it.
Hacker contro browser: vince Chrome
L’unico browser a resistere agli attacchi è stato Google Chrome 4. Secondo gli esperti questa sua invulnerabilità è tutto merito della sua architettura basata su sandbox, che impedisce l’esecuzione di codice che possa modificare il sistema o accedere a dati sensibili.
Vi faccio notare che però manca Opera....

Estraggo da Punto Informatico:

...è stato capace di bucare Firefox 3 sotto Windows 7 x64...
Al momento non è chiaro se l'exploit di Nils funzioni anche con le più recenti versioni 3.x di Firefox, quali la 3.5 e la 3.6.

mi sembra strano l'utilizzo della versione 3, a meno che l'obiettivo non era tanto Firefox quanto Windows 7 x64

[miki64]

Ottima considerazione, Iceberg.   

Da MegaLab.it maggiori dettagli: sull'exploit dell'hacker Nils su Firefox:

Il browser di Mozilla è stato  invece piegato dal ventiseienne tedesco noto solo come "Nils", anch'esso contendente storico di Pwn2Own.

Nils ha sfruttato a propria volta una debolezza non ancora nota che è riuscito a rintracciare in Firefox.

Anche in questo caso, ha spiegato l'esperto, la difficoltà maggiore è stata quella di aggirare ASLR e DEP. Una volta realizzato l'exploit comunque, è stato sufficiente predisporre una pagina web malformata perché il cracker riuscisse ad eseguire codice sul sistema, prendendone pieno controllo da remoto.

Nils ha precisato che, in questo caso, la responabilità del problema è doppiamente di Mozilla: oltre al difetto in Firefox in sé, l'hacker ha sottolineato che l'azienda può ancora migliorare ampiamente la capacità di utilizzare ASLR del proprio prodotto di punta.

Anche Nils è stato ricompensato con 10.000 $ di vincita e il PC sul quale era in esecuzione Internet Explorer.

[jooliaan]

Forse che nessuno di voi s'è ancora accorto che l'exploit è stato effettuato usando Firefox 3? Non 3.5, non 3.6. Quindi, dal mio punto di vista, ci si sta agitando tanto per nulla. L'exploit non è ripetibile con Firefox 3.6.*

Leggete questo articolo e i relativi commenti.
http://www.webnews.it/news/leggi/12650/iphone-ie-firefox-e-safari-pwned/
Loro per lo meno hanno preferito fare delle precisazioni a fronte delle mie considerazioni. Questo, al contrario di quello di molti altri, è un esempio di buona informazione.

[miki64]

No, no, jooliaan... Iceberg se ne è accorto, eccome. Chi non se ne è accorto, invece, sono le testate web che per prime hanno riportato la notizia a partire da ieri. 
Tanto rumore per nulla, come al solito....   

[RNicoletto]

Forse che nessuno di voi s'è ancora accorto che l'exploit è stato effettuato usando Firefox 3? Non 3.5, non 3.6. Quindi, dal mio punto di vista, ci si sta agitando tanto per nulla. L'exploit non è ripetibile con Firefox 3.6.*

Riporto qui le considerazione che ti avevo mandato anche su Facebook.

In effetti è strano. Ho appena controllato:
- Firefox 3.6 è stato rilasciato il 21 gennaio;
- Google Chrome 4 è stato rilasciato il 25 gennaio.

Non è neppure un discorso di "diffusione" del browser visto che Firefox 3.6 è sicuramente più diffuso di Firefox 3.0. Tra l'altro Mozilla ha recentemente annunciato che la release 3.0.19 prevista per fine mese sarà l'ultima del ramo 3.0.x (end-of-support).

P.S. Al Pwn2Own 2009 che versione di Firefox era stata hackata?

[miki64]

P.S. Al Pwn2Own 2009 che versione di Firefox era stata hackata?

Se ben ricordo, 3.0.6, può essere?. 

[fireM]

http://www.hwupgrade.it/news/sicurezza/pwn2own-bucati-safari-firefox-ie8-chrome-non-ancora-testato_32057.html

Tutti i software e i sistemi operativi sono stati aggiornati alle ultime release disponibili prima dell'inizio del contest.

ancora devo capire, ma di quale versione aggiornata di firefox 3 stiamo parlando????

questa qui è la pagina della manifestazione
http://dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010
perchè scrivono solo firefox 3 senza specificare il ramo??
così non si capisce...
le testate giornalistiche avranno copiato il contenuto senza porsi tante domande...

[miki64]

Ecco i contendenti, giorno per giorno:

Day 1
The target pairings for day one are:
    * Microsoft Internet Explorer 8 on Windows 7
    * Mozilla Firefox 3 on Windows 7
    * Google Chrome 4 on Windows 7
    * Apple Safari 4 on MacOS X Snow Leopard

Day 2
The target pairings for day two are:

    * Microsoft Internet Explorer 7 on Windows Vista
    * Mozilla Firefox 3 on Windows Vista
    * Google Chrome 4 on Windows Vista
    * Apple Safari 4 on MacOS X Snow Leopard

Day 3
The target pairings for day three are:

    * Microsoft Internet Explorer 7 on Windows XP
    * Mozilla Firefox 3 on Windows XP
    * Google Chrome 4 on Windows XP
    * Apple Safari 4 on MacOS X Snow Leopard

Fonte: http://dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010

Finalmente quindi ho scoperto pure i sistemi operativi utilizzati!
Toh, non c'è Linux... chissà perché.....  

Nel 2009 gli hacker hanno sfruttato tutti i bug presenti nel plugin Flash, se ben ricordo... mentre quest'anno hanno dovuto metterci del loro, anche se si è facilitati ad avere ragione su di un browser vecchio di oltre un anno, eh?   

[RNicoletto]

http://twitter.com/thezdi/status/11106937525

Browsers were chosen based on market share, we don't accept Opera bugs through the ZDI.     
11:54 AM Mar 26th via web

Si capisce sempre meno...

Firefox 3.5.x ha sicuramente una quota di mercato superiore a Firefox 3.0.x da ormai molti mesi ed analogamente Chrome 3.x ha sicuramente una quota di mercato superiore a Chrome 4.x.

A questo punto appare evidente che quelli di DVLabs hanno toppato.
A guadagnarci è Google Chrome che risulta l'unico browser imbattuto (bella forza, la versione 4.x è stata rilasciata appena un mese e mezzo prima del contest e quindi i vari ricercatori/hacker non è che abbiano avuto tutto sto tempo per studiarlo).

[Faus-74]

Noi ce ne fottiamo e continueremo ad usare il NOSTRO amato browser.
Scusate eh!!!

[RNicoletto]

Alla fine ci siamo sbagliati un po' tutti...

Mozilla Foundation Security Advisory 2010-25

Al contrario di quanto riportato da DVLabs e dalla maggior parte dei siti d'informazione, Nils ha effettivamente bucato l'utlima versione di Firefox e cioè la 3.6.2.

[miki64]

Grazie della segnalazione, Renzo.
Che strano, però...
Questo è importante:

The contest winning exploit only affects Firefox 3.6 and not earlier versions. We will be patching Firefox 3.5 in an upcoming release just in case there is an alternate way of triggering the bug.