Cerca nel blog

2009/03/20

Gara: Firefox, IE8, Safari bucati in pochi secondi

Browser colabrodo bucati: dei tre grandi non si salva nessuno, neanche IE8


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Anche quest'anno si tiene a Vancouver il CanSecWest, una conferenza annuale sulla sicurezza informatica che include una gara, chiamata Pwn2Own e organizzata dalla società di sicurezza informatica Tipping Point, che invita i concorrenti a prendere il controllo da remoto di un computer pienamente aggiornato agendo esclusivamente attraverso il suo browser. Chi ci riesce si porta a casa il computer posseduto e un premio in denaro.

E' andata malissimo. Il ricercatore di sicurezza Charlie Miller ha ripetuto il successo dell'anno scorso (segnalato qui): in una manciata di secondi è riuscito a entrare in un MacBook Apple dotato di tutte le patch di aggiornamento semplicemente inducendo l'utente del MacBook a cliccare su un link visualizzato in una pagina Web tramite il browser Safari. Si è portato così a casa il MacBook e 10.000 dollari, come da regolamento.

In cambio, la Tipping Point acquisisce i diritti sulla falla e sulla tecnica utilizzata per sfruttarla e si coordinerà con Apple per il rattoppo. I dettagli della tecnica verranno pubblicati solo quando sarà pronto l'aggiornamento che tura la vulnerabilità.

Anche il nuovissimo Internet Explorer 8 di Microsoft non ha resistito. Un ricercatore che si è identificato soltanto come Nils ha ripetuto lo stesso tipo di attacco contro Windows 7, che include IE8, e si è portato a casa il Sony Vaio che aveva bucato e un po' di dollari, sotto gli occhi probabilmente lucidi del team di sicurezza di Microsoft.

Nils è poi riuscito a bucare Safari e Firefox, completando la terna delle umiliazioni. Dopo il primo giorno di gara, soltanto Chrome (il browser di Google) era imbattuto.

Non c'è insomma da stare tranquilli, a prescindere dal sistema operativo che usate: molti pensano che il Mac sia invulnerabile, ma la realtà è che anche un Mac può essere violato semplicemente convincendo l'utente a visitare un sito-trappola. Per questo siete voi la prima linea di difesa del vostro computer.

Nessun commento: