Il bollettino di guerra del Pwn2Own 2010 è impietoso: i browser più diffusi sono stati bucati al primo colpo. Safari, Internet Explorer 8, Firefox hanno resistito pochi secondi. L’unico browser a essere rimasto indenne è Chrome, a dimostrazione che l’isolamento dei processi è servito a Google per rendere davvero più sicuro della concorrenza il proprio software.
Ma a cadere è stato anche l’iPhone, attraverso una vulnerabilità in Safari che consente di prendere il controllo del database degli SMS dello smartphone di Cupertino. Ad aver individuato la vulnerabilità sull’iPhone è stato un duo composto dall’italiano Vincenzo Iozzo (vecchia conoscenza di oneITSecurity) e Ralf Philipp Weinmann che si è aggiudicato 15.000 dollari.
A piegare le ginocchia a Safari su Mac OS X invece ci ha pensato Charlie Miller, che conquista la terza vittoria consecutiva al Pwn2Own ottenendo 10.000 dollari.
A perforare le difese del browser di Mozilla ci ha pensato invece Nils, che è riuscito a bucare Firefox su Windows 7, anche in questo caso ottenendo un premio di 10.000 dollari. Inoltre Nils è riuscito anche a bucare Safari al pari di Miller.
L’impresa più difficile però è stata compiuta da un “nuovo arrivato”, l’hacker olandese Peter Vreugdenhil, che è riuscito a bucare Internet Explorer 8 su Windows 7, facendosi beffe di due tra le tecniche considerate fino ad ora più robuste: ASLR (Address Space Layout Randomization) and DEP (Data Execution Prevention).
Le vulnerabilità saranno comunicate nei prossimi giorni alle rispettive società da Tipping Point, organizzatrice anche quest’anno del Pwn2Own.
Ecco tutti i risultati del contest:
- Vincenzo Iozzo e Ralf Philipp Weinmann iPhone;
- Charlie Miller – Safari;
- Nils – Safari;
- Peter Vreugdenhil – Internet Explorer 8;
- MemACCT – Internet Explorer 8;
- Anonymous – Nokia;
- Anonymous – iPhone ;
- Nils – Firefox.
