Pwn2Own 2010: bucati iPhone, Safari, Internet Explorer 8 e Firefox

Il bollettino di guerra del Pwn2Own 2010 è impietoso: i browser più diffusi sono stati bucati al primo colpo. Safari, Internet Explorer 8, Firefox hanno resistito pochi secondi. L’unico browser a essere rimasto indenne è Chrome, a dimostrazione che l’isolamento dei processi è servito a Google per rendere davvero più sicuro della concorrenza il proprio software.

Ma a cadere è stato anche l’iPhone, attraverso una vulnerabilità in Safari che consente di prendere il controllo del database degli SMS dello smartphone di Cupertino. Ad aver individuato la vulnerabilità sull’iPhone è stato un duo composto dall’italiano Vincenzo Iozzo (vecchia conoscenza di oneITSecurity) e Ralf Philipp Weinmann che si è aggiudicato 15.000 dollari.

A piegare le ginocchia a Safari su Mac OS X invece ci ha pensato Charlie Miller, che conquista la terza vittoria consecutiva al Pwn2Own ottenendo 10.000 dollari.

A perforare le difese del browser di Mozilla ci ha pensato invece Nils, che è riuscito a bucare Firefox su Windows 7, anche in questo caso ottenendo un premio di 10.000 dollari. Inoltre Nils è riuscito anche a bucare Safari al pari di Miller.

L’impresa più difficile però è stata compiuta da un “nuovo arrivato”, l’hacker olandese Peter Vreugdenhil, che è riuscito a bucare Internet Explorer 8 su Windows 7, facendosi beffe di due tra le tecniche considerate fino ad ora più robuste: ASLR (Address Space Layout Randomization) and DEP (Data Execution Prevention).

Le vulnerabilità saranno comunicate nei prossimi giorni alle rispettive società da Tipping Point, organizzatrice anche quest’anno del Pwn2Own.

Ecco tutti i risultati del contest:

• Vincenzo Iozzo e Ralf Philipp Weinmann iPhone;
• Charlie Miller – Safari;
• Nils – Safari;
• Peter Vreugdenhil – Internet Explorer 8;
• MemACCT – Internet Explorer 8;
• Anonymous – Nokia;
• Anonymous – iPhone ;
• Nils – Firefox.