Topic: Pwn2Own 2012: Firefox sotto assedio!

[Ronnie91]

http://www.ilsoftware.it/articoli.asp?id=8437

http://punto-informatico.it/3473104/PI/News/pwn2own-chrome-primo-cadere.aspx

http://news.wintricks.it/web/sicurezza/35764/pwn2own-hackerato-google-chrome/

Da questi altri articoli sembra che sia come dice gialloporpora, Vupen è una società e non ha preso soldi, Glazunov è un ricercatore ed ha preso i soldi e da quello che ho capito hanno scoperto più falle, se sbaglio, correggetemi!

P.S.: Le varie notizie non mi sembrano tutte concordanti, anzi...

[gialloporpora]

Aggiungo l'ultimo:
http://www.webnews.it/2012/03/08/cansecwest-sandbox-chrome/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Webnews&utm_content=Google+International

comunque è come dici tu, credo dipenda dalle fonti, a me piace l'articolo del software.it che è ispirato a quello di arstechnica.

[miki64]

Ok, ma ora concentriamoci sui risultati e non su chi ha beccato il grano, eh? 

[gialloporpora]

Hai ragione @miki64,

aggiungo solo che è già arrivato il fix del team di Chrome:
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html

Poi, se volete, fate il conto di quanto ha già preso Sergey Glazunov, deve essere davvero in gamba:
http://www.chromium.org/Home/chromium-security/hall-of-fame

insomma uno studente ma si è già fatto un nome.

[gialloporpora]

il messaggio di prima l'ho eliminato perché avevo detto una cavolata

Anche IE bucato:

Twitter / @VUPEN: IE9 on Windows 7 SP1 x64 i ...

IE9 on Windows 7 SP1 x64 is the second browser to fall at #pwn2own. Our exploit included two 0days to fully bypass ASLR/DEP + Protected Mode

ora vediamo cosa accade a Firefox

Qui si può vedere l'andamento della gara:
http://pwn2own.zerodayinitiative.com/status.html

[Ronnie91]

Chrome non aveva più falle? Sono stati velocissimi, però il fix è solo per una falla, se ho capito male correggetemi, grazie...

Da qui leggo una cosa molto preoccupante:

I ricercatori comunicheranno a Microsoft solamente i dettagli del bug di heap overflow, mentre il secondo problema sarà tenuto privato, in modo da vendere i dettagli o un'ipotetica patch ai propri clienti.

Seguendo il proseguimento della gara al momento non sono state scoperte falle 0Day su Firefox, ma solo su Internet Explorer e Chrome, giusto?

[gialloporpora]

Allora,
Chrome ha patchato il bug utilizzato dall'hacker russo, il bug sfruttato da Vupen verrà comunicato nei dettagli quando sarà finita la manifestazione. L'hacker russo aveva partecipato al solo contest di Google, non al pwn2own.
Stando a quel che dicono gli esperti, la falla sfruttata da Vupen potrebbe anche riguardare Flash, su questo meglio aspettare che sia finita la manifestazione e ci siano maggiori dettagli.

Oggi dovrebbe essere il giorno di Firefox e Safari, l'intento di Vupen è quello di dimostrare che nessuno è invulnerabile. Potrebbero anche non farlo visto che, guardando il punteggio, hanno praticamente vinto il contest e contrattare in privata sede, staremo a vedere.

[Ronnie91]

Da questo tuo link: http://pwn2own.zerodayinitiative.com/status.html vedo che Firefox ha delle falle ma di minore intensità rispetto a quelle 0Day, giusto?

P.S.: Non mi piace il fatto del contrattare in privata sede...

[gialloporpora]

Io non riesco a trovare un articolo dove viene spiegato nei dettagli il regolamento del concorso, però, credo che quelle siano falle vecchie e dichiarate, loro devono trovare un exploit funzionante che sfrutti la vulnerabilità ma usando la versione che era affetta da quella falla, non quella super patchata su cui vanno dimostrati i zero days.
Anche perchè non sono proprio falle così simpatiche, tutte permettono esecuzione di codice remoto e sono allo stesso livello delle altre.


Per il PS, sono un'azienda che fa quel lavoro

[Ronnie91]

Ok, grazie mille!

[gialloporpora]

Prego

Ora è la volta di Firefox, vediamo come va:

Twitter / @Pwn2Own_Contest: Another vulnerability on t ...

Another vulnerability on the #Pwn2Own horizon... @_snagg and @_dvorak_ intend to drop a Firefox 0day sometime in the next 2 hours. #Pwn2Own

uno dei due partecipanti che sta cercando di bucare Firefox è italiano:
_snagg

se proprio qualcuno lo deve fare …


l'altro, a parimerito con il ragazzo italiano:

_Dvorak_ (come il famoso musicista.

Edit: ci sono riusciti, mi sembra di capire che stiano collaborando assieme.

Twitter / @Pwn2Own_Contest: Congratulations to @_snagg ...

successfully pwning the latest Firefox at #Pwn2Own! They've gained 32 points.

i dettagli verranno forniti alla fine della manifestazione, comunque i 32 punti vengono assegnati per uno 0-days  nell'ultima versione. 



È finito. Risultato finale: uno zero-days a testa per Chrome, IE e Firefox.

Il che è strano perché così sembra quasi che Safari sia il più sicuro, cosa a cui non credo e che mi fa sospettare che, soprattutto  i francesi si siano tenuti molti exploit da parte.
I risultati verranno comunicati agli sviluppatori con i dettagli lunedì, però non credo che come scritto sopra possano decidere a loro piacimento se rendere pubblici o no i dettagli, credo che VUPEN abbia altri exploit per IE su cui vuole contrattare, ma non quelli usati al pwn2own.

[Ronnie91]

In pratica i browser più sicuri sono stati "bucati" e quello meno sicuro, no.

Concordo con gialloporpora, secondo me c'è qualcosa sotto...

[gialloporpora]

Colpo di coda: altro attacco andato a segno alla sandbox di Chrome nel concorso parallelo indetto da Google, Pwnium e dedicato al loro browser:

At hacking contest, Google Chrome falls to third zero-day attack (Updated)

Google's Chrome browser on Friday fell to a zero-day attack that pierced its vaunted security sandbox, the third such attack in as many days at a contest designed to test its resistance to real-world threats.

[miki64]

Riepilogo (in italiano), da Punto Informatico, di questo caotico contest (mica ho capito tanto qual è il browser vincitore...):
Quest'anno il browser Mozilla è stato l'ultimo a cadere sotto i colpi degli hacker iscritti al contest. Willem Pinckaers e Vincenzo Iozzo hanno sfruttato una singola vulnerabilità zero-day scovata nel recente Firefox 10.0.2.

[Underpass]

Sinceramente: secondo me è meglio che ne escano il più possibile in questi laboratori