Topic: Pwn2Own 2015: nel secondo giorno crollano tutti i browser!

[miki64]

Sfida 2010: gli hacker "bucano" Firefox? Sì, ma quello di un anno fa....
Sfida 2011: gli hacker riusciranno a "bucare" Firefox?
Sfida 2012: Firefox sotto assedio!
Sfida 2013: tutti "bucati", browser e plug-in!
Sfida 2014: nel primo giorno Firefox è stato "bucato" tre volte...
---------------------------

Safari, Chrome, Firefox ed Internet Explorer tutti violati al Pwn2Own

Una pagina più completa per questa notizia (in inglese):
https://threatpost.com/all-major-browsers-fall-at-pwn2own-day-2/111731

[miki64]

Pwn2Own 2015: Chrome ha la pelle più dura!

Nei giorni scorsi si è tenuto il Pwn2Own, un evento in cui i ricercatori di sicurezza mettono alla prova le difese dei browser più diffusi. I ricercatori si recano a questa manifestazione preparati, ossia sanno già dove colpire nella speranza di portarsi a casa un lauto bottino, messo a disposizione dalle aziende del settore, come Google e Microsoft.

Quest'anno nessuno dei browser in competizione è uscito indenne. I ricercatori hanno scoperto numerose vulnerabilità. Chrome è forse quello che ne è uscito meglio, con una sola falla rintracciata, seguito da Safari (due vulnerabilità), Firefox (3 vulnerabilità) e Internet Explorer (4 vulnerabilità).

I ricercatori hanno rintracciato falle anche in altri software, come Flash e Reader di Adobe (3 vulnerabilità) e Windows (5 falle). In totale sono stati pagati ai ricercatori 557.500 dollari, ma la "star" dell'evento è stata senza ombra di dubbio il sudcoreano Jung Hoon Lee, che ha bucato Chrome (sia in versione stabile che beta) e altri software, portandosi a casa 225.000 dollari, 110.000 dei quali raccolti in soli due minuti. Praticamente 915 dollari circa al secondo.

"Il suo hack", spiega Ars Technica, "è iniziato provando una race condition tramite buffer overflow in Chrome. Per permettere all'attaco di passare i meccanismi anti-exploit come la sandbox e l'address space layout randomization, Jung Hoon Lee ha sfruttato un information leak e una race condition in due driver del kernel Windows, un risultato impressionante che ha permesso all'exploit di ottenere accesso completo al sistema".

Non sorprende che Internet Explorer sia stato il software più vulnerabile, ma d'altronde Microsoft ha deciso di cambiare strada con Windows 10. L'azienda ha optato per la realizzazione di un nuovo browser, noto con il nome Project Spartan, il quale si lascerà alle spalle gran parte del vecchio codice che IE si porta dietro come eredità degli anni passati - e per questioni di compatibilità - al fine di rispondere meglio agli standard del web attuale e soprattutto dei consumatori.

Anche Mozilla intende fare passi avanti nell'ambito della sicurezza, rimpiazzando parti del browser Firefox con componenti scritti nel linguaggio di programmazione a basso livello Rust. Servirà probabilmente del tempo prima che avvenga un passaggio completo. A ogni modo, la palla passa ora agli sviluppatori dei browser e dei software "bucati", chiamati nei prossimi mesi a chiudere le vulnerabilità riscontrate.

[Iceberg]

Sbaglio o il recentissimo aggiornamento 36.0.4 ha corretto proprio una o più di quelle vulnerabilità citate?

https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/

Codice: [Seleziona]

36.0.4: Security fixes for issues disclosed at HP Zero Day Initiative's Pwn2Own contest

[miki64]

Sì, ne risolve due, sono state già corrette! 

Per la terza vulnerabilità

La terza vulnerabilità emersa in occasione della manifestazione Pwn2Own, invece, sarà aggiornata in occasione del rilascio di Firefox 37 ma - tengono a precisare i tecnici di Mozilla - non può essere utilizzata da sola per far danni.

Da notare che Firefox dotato di Noscript sarebbe stato protetto da entrambi gli attacchi. Come scrive anche Giorgio Maone nel proprio forum per la vulnerabilità domandata (fonte: IlSoftware.it):  https://forums.informaction.com/viewtopic.php?f=7&t=20661

Io, comunque, non ho mai compreso a fondo il meccanismo di questo "torneo": il premio in danaro è uguale per tutti? I partecipanti engono premiati direttamente dai produttori e quindi se - per esempio- Apple non paga allora ci si indirizza verso il browser che ha il premio più alto in palio? Perché quest'anno gli exploit sono stati testati tutti su macchine Windows e non anche Linux come in passato? La ricerca della vulnerabilità "parte" secondo un tema prefissato oppure è libera? E inizia proprio durante il contest oppure ci si può preparare mesi prima? Sono possibili alleanze o comunque scambi di informazioni tra i partecipanti?
Non vorrei, insomma, che certe vulnerabilità fossero comunque pilotate: le due sole vulnerabilità di Safari - che su Windows è dismesso - mi danno molto a pensare... 


edot:
Ho aggiornato i link nel primo post.

[Iceberg]

Che io sappia le vulnerabilità vengono lì presentate. Sono scoperte e testate con settimane o mesi di anticipo. E' possibile che lo scopritore chieda un pre-premio e rinunci a presentare la sua vulnerabilità?
Il premio dipende dal browser, una vulnerabilità di Google Chrome vale molto di più di una di Internet Explorer.

C'è sempre molto da pensare, siamo per questo forniti di una capoccia. 

[CloudUchiha]

Il premio dipende dal browser, una vulnerabilità di Google Chrome vale molto di più di una di Internet Explorer.

E immagino che Chrome valga anche più di Firefox. Ma siamo sicuri? Internet Explorer è usato da molte più persone, quindi molti più computer attaccati. Credo che questo sia il modo più giusto per valutare.

[Mte90]

I soldi per chi trova le vulnerabilità vengono date dai proprietari dei software. Sta all hacker riuscire a trovare delle vulnerabilità importanti che possano dargli una buona somma.
Le vulnerabilità vengono scoperte prima ma non è detto che siano presentate privatamente (dipende dalle regole della sfida) e poi si attaccano software aggiornati perchè se non mi sbaglio la sfida è trovare un bug sull'ultima versione disponibile.

La cifra dipende dal tipo di vulnerabilità e della semplicità d'attacco e probabilmente relazionata anche al numero di installazioni.
Softawre come adobe reader o adobe falsh hanno più installazioni globali rispetto a IE o Firefox perchè sono presenti in tutti i pc e in tutti i sistemi operativi (chi più o chi meno) quindi se fosse solo sul numero di installazioni i bug trovati sarebbero stati pagati più di quelli per chrome.