Notizie: scarica ora l'ultima versione disponibile di Firefox!

Autore Topic: Pwn2Own 2012: Firefox sotto assedio!  (Letto 8569 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Ronnie91

  • Post: 3518
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #15 il: 08 Marzo 2012 20:03:13 »
http://www.ilsoftware.it/articoli.asp?id=8437

http://punto-informatico.it/3473104/PI/News/pwn2own-chrome-primo-cadere.aspx

http://news.wintricks.it/web/sicurezza/35764/pwn2own-hackerato-google-chrome/

Da questi altri articoli sembra che sia come dice gialloporpora, Vupen è una società e non ha preso soldi, Glazunov è un ricercatore ed ha preso i soldi e da quello che ho capito hanno scoperto più falle, se sbaglio, correggetemi! ;)

P.S.: Le varie notizie non mi sembrano tutte concordanti, anzi...

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #16 il: 08 Marzo 2012 20:35:14 »
Aggiungo l'ultimo:
http://www.webnews.it/2012/03/08/cansecwest-sandbox-chrome/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Webnews&utm_content=Google+International

comunque è come dici tu, credo dipenda dalle fonti, a me piace l'articolo del software.it che è ispirato a quello di arstechnica.

Offline miki64

  • Moderatore
  • Post: 35461
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #17 il: 08 Marzo 2012 21:01:17 »
Ok, ma ora concentriamoci sui risultati e non su chi ha beccato il grano, eh?  ;)

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #18 il: 08 Marzo 2012 21:10:13 »

Hai ragione @miki64,

aggiungo solo che è già arrivato il fix del team di Chrome:
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html

Poi, se volete, fate il conto di quanto ha già preso Sergey Glazunov, deve essere davvero in gamba:
http://www.chromium.org/Home/chromium-security/hall-of-fame

insomma uno studente ma si è già fatto un nome.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #19 il: 09 Marzo 2012 00:49:34 »
il messaggio di prima l'ho eliminato perché avevo detto una cavolata :oops:

Anche IE bucato:

Twitter / @VUPEN: IE9 on Windows 7 SP1 x64 i ...
Citazione
IE9 on Windows 7 SP1 x64 is the second browser to fall at #pwn2own. Our exploit included two 0days to fully bypass ASLR/DEP + Protected Mode

ora vediamo cosa accade a Firefox :fx:

Qui si può vedere l'andamento della gara:
http://pwn2own.zerodayinitiative.com/status.html

« Ultima modifica: 09 Marzo 2012 00:55:30 da gialloporpora »

Offline Ronnie91

  • Post: 3518
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #20 il: 09 Marzo 2012 12:39:51 »
Chrome non aveva più falle? Sono stati velocissimi, però il fix è solo per una falla, se ho capito male correggetemi, grazie...

Da qui leggo una cosa molto preoccupante:
Citazione
I ricercatori comunicheranno a Microsoft solamente i dettagli del bug di heap overflow, mentre il secondo problema sarà tenuto privato, in modo da vendere i dettagli o un'ipotetica patch ai propri clienti.

Seguendo il proseguimento della gara al momento non sono state scoperte falle 0Day su Firefox, ma solo su Internet Explorer e Chrome, giusto?

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #21 il: 09 Marzo 2012 13:03:48 »
Allora,
Chrome ha patchato il bug utilizzato dall'hacker russo, il bug sfruttato da Vupen verrà comunicato nei dettagli quando sarà finita la manifestazione. L'hacker russo aveva partecipato al solo contest di Google, non al pwn2own.
Stando a quel che dicono gli esperti, la falla sfruttata da Vupen potrebbe anche riguardare Flash, su questo meglio aspettare che sia finita la manifestazione e ci siano maggiori dettagli.

Oggi dovrebbe essere il giorno di Firefox e Safari, l'intento di Vupen è quello di dimostrare che nessuno è invulnerabile. Potrebbero anche non farlo visto che, guardando il punteggio, hanno praticamente vinto il contest e contrattare in privata sede, staremo a vedere.


Offline Ronnie91

  • Post: 3518
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #22 il: 09 Marzo 2012 13:08:54 »
Da questo tuo link: http://pwn2own.zerodayinitiative.com/status.html vedo che Firefox ha delle falle ma di minore intensità rispetto a quelle 0Day, giusto?

P.S.: Non mi piace il fatto del contrattare in privata sede...

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #23 il: 09 Marzo 2012 13:24:01 »
Io non riesco a trovare un articolo dove viene spiegato nei dettagli il regolamento del concorso, però, credo che quelle siano falle vecchie e dichiarate, loro devono trovare un exploit funzionante che sfrutti la vulnerabilità ma usando la versione che era affetta da quella falla, non quella super patchata su cui vanno dimostrati i zero days.
Anche perchè non sono proprio falle così simpatiche, tutte permettono esecuzione di codice remoto e sono allo stesso livello delle altre.


Per il PS, sono un'azienda che fa quel lavoro :-P


Offline Ronnie91

  • Post: 3518
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #24 il: 09 Marzo 2012 13:30:51 »
Ok, grazie mille! :)

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #25 il: 09 Marzo 2012 23:18:15 »
Prego :-)

Ora è la volta di Firefox, vediamo come va:

Twitter / @Pwn2Own_Contest: Another vulnerability on t ...
Citazione
Another vulnerability on the #Pwn2Own horizon... @_snagg and @_dvorak_ intend to drop a Firefox 0day sometime in the next 2 hours. #Pwn2Own

uno dei due partecipanti che sta cercando di bucare Firefox è italiano:
_snagg

se proprio qualcuno lo deve fare … :-)


l'altro, a parimerito con il ragazzo italiano:

_Dvorak_ (come il famoso musicista.

Edit: ci sono riusciti, mi sembra di capire che stiano collaborando assieme.

Twitter / @Pwn2Own_Contest: Congratulations to @_snagg ...
Citazione
successfully pwning the latest Firefox at #Pwn2Own! They've gained 32 points.

i dettagli verranno forniti alla fine della manifestazione, comunque i 32 punti vengono assegnati per uno 0-days  nell'ultima versione. 



È finito. Risultato finale: uno zero-days a testa per Chrome, IE e Firefox.

Il che è strano perché così sembra quasi che Safari sia il più sicuro, cosa a cui non credo e che mi fa sospettare che, soprattutto  i francesi si siano tenuti molti exploit da parte.
I risultati verranno comunicati agli sviluppatori con i dettagli lunedì, però non credo che come scritto sopra possano decidere a loro piacimento se rendere pubblici o no i dettagli, credo che VUPEN abbia altri exploit per IE su cui vuole contrattare, ma non quelli usati al pwn2own.
« Ultima modifica: 10 Marzo 2012 00:45:56 da gialloporpora »

Offline Ronnie91

  • Post: 3518
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #26 il: 10 Marzo 2012 01:08:25 »
In pratica i browser più sicuri sono stati "bucati" e quello meno sicuro, no.

Concordo con gialloporpora, secondo me c'è qualcosa sotto...

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #27 il: 10 Marzo 2012 12:24:11 »
Colpo di coda: altro attacco andato a segno alla sandbox di Chrome nel concorso parallelo indetto da Google, Pwnium e dedicato al loro browser:

At hacking contest, Google Chrome falls to third zero-day attack (Updated)
Citazione
Google's Chrome browser on Friday fell to a zero-day attack that pierced its vaunted security sandbox, the third such attack in as many days at a contest designed to test its resistance to real-world threats.

Offline miki64

  • Moderatore
  • Post: 35461

Offline Underpass

  • I've got fabric to sell
  • Amministratore
  • Post: 24618
    • Mozilla Italia
Re: Pwn2Own 2012: Firefox sotto assedio!
« Risposta #29 il: 13 Marzo 2012 11:20:21 »
Sinceramente: secondo me è meglio che ne escano il più possibile in questi laboratori

0 Utenti e 1 Visitatore stanno visualizzando questo topic.