Autore Topic: Pwn2Own 2013: tutti "bucati", browser e plug-in!  (Letto 2664 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Pwn2Own 2013: tutti "bucati", browser e plug-in!
« il: 22 Gennaio 2013 14:35:57 »
Sfida 2010: gli hacker "bucano" Firefox? Sì, ma quello di un anno fa....
Sfida 2011: gli hacker riusciranno a "bucare" Firefox?
Sfida 2012: Firefox sotto assedio!


Il prossimo è fra 6 settimane, quest'anno le regole sono cambiate.
http://bit.ly/WSMhpQ


Quest'anno hanno introdotto lo spread anche al Pwn2Own :-(
a parte l'ovvio.

Citazione
A working exploit against its Java plugin worth just 20% of the value of an exploit against Redmond's most recent browser.

Citazione
Mozilla may be feeling a bit uncomfortable, too.
Pwnership of Firefox on Windows 7 is valued at only 60% of an attack against Google's Chrome on the same platform.

visto che si possono usare anche i plugin quest'anno ne vedremo delle belle.
« Ultima modifica: 08 Marzo 2013 15:20:56 da miki64 »

Offline RNicoletto

  • Post: 2209
    • MondoWin
Re: Pwn2Own 2013: la sfida continua!
« Risposta #1 il: 25 Gennaio 2013 17:19:52 »
Belle le nuove regole! :like:

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2013: la sfida continua!
« Risposta #2 il: 07 Marzo 2013 00:19:14 »
Hanno cominciato oggi, di solito comunque la prima giornata è di riscaldamento, gli attacchi più importanti dovrebbero arrivare domani.


Anche se, imo, non significa a priori che il primo bucato sia il peggiore, anzi, potrebbe pure essere un caso, ok, stavolta forse no :-P
E il primo a cadere è… (non è un browser)

Edit: resoconto della prima giornata.
Attacco riuscito a Firefox su Windows 7 da parte dei vincitori della passata edizione, Vupen:

Chrome; Firefox; IE 10; Java; Win 8 fall at #pwn2own hackfest
Citazione
Firefox was popped with a use-after-free vulnerability and a new technique that bypasses Address Space Layout Randomisation (ASLR) and Data Execution Prevention (DEP) in Windows, Vupen said.

Nonostante le 10 patch di sicurezza apportate negli scorsi giorni a Chrome si registra un attacco riuscito da parte di MWRLabs.
« Ultima modifica: 07 Marzo 2013 10:27:06 da gialloporpora »

Offline deckard

  • Post: 3766
Re: Pwn2Own 2013: la sfida continua!
« Risposta #3 il: 07 Marzo 2013 10:37:53 »
Belle le nuove regole! :like:

Forse non è corretto che abbiano introdotto i plug-in, ma di fatto anche loro concorrono alla sicurezza del browser che ricorre a loro.
Vero è che non si tratta direttamente di una falla del browser, ma la falla comunque impatta sull'uso sicuro del programma e credo che l'utente debba esserne consapevole... una specie di consenso informato all'uso di un programma con i suoi componenti aggiuntivi (compresi quelli sviluppati da terzi... ).

[...]
Il prossimo è fra 6 settimane, quest'anno le regole sono cambiate.
http://bit.ly/WSMhpQ


Quest'anno hanno introdotto lo spread anche al Pwn2Own :-(
a parte l'ovvio.
[...]
Credo di non avere capito che cosa tu intenda con "spread".

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2013: la sfida continua!
« Risposta #4 il: 07 Marzo 2013 10:49:00 »
Citazione
Credo di non avere capito che cosa tu intenda con "spread".

Gli exploit non vengono più valutati allo stesso modo, in altre parole se buchi Chrome prendi il massimo (100000 $), se buchi solo Java 20000 (il minimo).

Chrome su Win7: 100k $
IE10 su Win8: 100k $
IE9 su Win7: 75k $
Safari su Mountain Lion: 65k $
Mozilla Firefox su Win7: 60k $

I plugin vanno bucati su IE:
Flash e Adobe Reader: 70k $
Java:  20k $





« Ultima modifica: 07 Marzo 2013 10:50:44 da gialloporpora »

Offline deckard

  • Post: 3766
Re: Pwn2Own 2013: la sfida continua!
« Risposta #5 il: 07 Marzo 2013 13:18:23 »
Cioè le vulnerabilità dirette (quelle del browser) sono le più gravi, soprattutto se affliggono le ultime versioni.
E la cosa, secondo me, ha una logica, magari non condivisibile, ma almeno sensata.
Java, Flash e Adobe Reader, per quanto siano dei prodotti distinti (per i quali, COME E' GIUSTO CHE SIA, non si fornisce supporto qui), influenzano comunque la stabilità e la sicurezza di un browser. Ed è giusto che gli utenti ne siano consapevoli.
Motivo per cui Mozilla aveva introdotto il Plugin-check.
Motivo per cui era stato introdotto un maggiore controllo sui componenti aggiuntivi installati da parti terze (con la possibilità di non consentire l'installazione delle estensioni).
Motivo per cui il Tor Browser disabilita per condizione predefinita i plugin e in particolar modo Flash (almeno fino a un po' di tempo fa)... per non dire che forse non sa neanche che cosa siano e che ci sono.
Etc...

@Gialloporpora Credo che l'idea di spread per come la consideri tu sia una cosa positiva.
Il mio mezzo centesimo bucato.
« Ultima modifica: 08 Marzo 2013 15:19:02 da miki64 »

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2013: la sfida continua!
« Risposta #6 il: 07 Marzo 2013 13:39:09 »
Citazione
Cioè le vulnerabilità dirette (quelle del browser) sono le più gravi, soprattutto se affliggono le ultime versioni.

Non credo sia la gravità la discriminante per stabilire l'ammontare della somma pagata (sono tutte falle altamente critiche che permettono di avere il pieno controllo sul computer), bensì la difficoltà nell'effettuare il crack, più vale più è considerato difficile.




Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2013: la sfida continua!
« Risposta #8 il: 08 Marzo 2013 14:09:05 »
Intanto Mozilla ha già risolto la falla utilizzata da VUPEN per far cadere Firefox:

Mozilla and Pwn2own
Citazione
Researchers successfully demonstrated new security vulnerabilities in all three browsers tested -  Firefox, Chrome and IE. At the conclusion of the event we received technical details about the exploit so we could issue a fix.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2013: tutti "bucati", browser e plug-in!
« Risposta #9 il: 08 Marzo 2013 18:41:14 »
Nel secondo giorno sono caduti anche Flash e Adobe reader, più un'altra volta Java (per un totale di 4 tentativi andati a buon fine).
L'unico che sopravvive è Safari :-? che è anche l'unico a non girare su Windows (7 o 8 che sia).


PWN2OWN results Day Two - Adobe Reader and Flash owned, Java felled yet again — nakedsecurity.sophos.com — Readability
Citazione
Day Two ended in a similar fashion to Day One, with everyone who went in to bat slugging the ball into the crowd.

Offline miki64

  • Moderatore
  • Post: 35971
Re: Pwn2Own 2013: tutti "bucati", browser e plug-in!
« Risposta #10 il: 08 Marzo 2013 19:40:39 »
Da profano, mi sembra che le cose  - anziché migliorare - peggiorino: stavolta hanno bucato i browser in quattro e quattr'otto o mi sbaglio?

Offline deckard

  • Post: 3766
Re: Pwn2Own 2013: tutti "bucati", browser e plug-in!
« Risposta #11 il: 08 Marzo 2013 21:31:44 »
[...]
L'unico che sopravvive è Safari :-? che è anche l'unico a non girare su Windows (7 o 8 che sia).
[...]
Strano,... credevo che vi fosse una versione per Windows e che fosse pure compatibile con il 7, anche se sono rimasto fermo a qualche tempo fa... ma magari ricordo male io ;-)

Offline ziobubu

  • Post: 645
Re: Pwn2Own 2013: tutti "bucati", browser e plug-in!
« Risposta #12 il: 08 Marzo 2013 22:22:18 »
Non ricordo di preciso, ma sono quasi sicuro abbiano smesso di sviluppare Safari per Windows. La versione esiste, ma è vecchia di qualche mese e perciò non l'avranno considerata.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2013: tutti "bucati", browser e plug-in!
« Risposta #13 il: 09 Marzo 2013 01:30:33 »
Citazione
Da profano, mi sembra che le cose  - anziché migliorare - peggiorino: stavolta hanno bucato i browser in quattro e quattr'otto o mi sbaglio?

La velocità non è il problema, se non ho capito male quest'anno solo il primo exploit ai browser veniva pagato, quindi meglio affrettarsi.

Per Safari: boh, ha lo stesso engine di Chrome (senza le protezioni aggiuntive di Chrome), giocarsi 35k € in più su Chrome credo convenisse, in più, visto che qualche problema lato OS aiuta sempre, forse si sono concentrati di più  sugli altri che giravano tutti su Windows.


Offline miki64

  • Moderatore
  • Post: 35971
Re: Pwn2Own 2013: tutti "bucati", browser e plug-in!
« Risposta #14 il: 13 Marzo 2013 11:18:20 »
Pwn2Own, ancora buchi per Reader e Flash.
Due dei prodotti più popolari di Adobe bersagliati dai cacciatori di bug intervenuti alla conferenza CanSecWest: per Reader si parla di un nuovo buco nella sandbox, mentre Flash migliora ma qualche bucherello non se lo fa mai mancare

0 Utenti e 1 Visitatore stanno visualizzando questo topic.