E’ stata rilasciata la versione 9.0.597.107 di Chrome. Google ha corretto ben 19 vulnerabilità, di cui solo 3 non gravi – ma nessuna ha raggiunto il livello “critico”.
Come sta accadendo spesso ultimamente, 15 di questi bug sono stati identificati da ricercatori esterni a Google: seguendo l’esempio di Mozilla, Big G ha deciso da un po’ di tempo di pagare chiunque sveli errori e falle nel codice del suo Chrome. Continua »
Non capita tutti i giorni che un’azienda paghi qualcuno per violare un proprio prodotto, eppure è proprio questo che i vertici di Google hanno pensato di fare in vista della prossima edizione dell’annuale contest sulla sicurezza informaticaPwn2Own: eccessivo senso di fiducia o voglia di mettere pepe alla sfida?
Per chi si cimenterà con successo nel tentativo di forzare per primo Chrome, è previsto un premio di 20.000 dollari, che si aggiungerà ai premi già messi in palio dagli organizzatori per gli hacker che partecipano all’evento. Continua »
Se ci seguite, ricorderete bene lo scalpore suscitato dall’evento informatico Pwn2Own 2010: quasi tutti i browser più usati si sono scoperti vulnerabili in poco tempo, e apparentemente senza troppi sforzi dai vari hacker di turno.
Finalmente i produttori cominciano a correre ai ripari, prima fra tutti Mozilla: il security team del browser open source ha pubblicato di recente Firefox 3.6.3, proposto in automatico agli utenti durante la normale navigazione sul Web.
Continua »
Il bollettino di guerra del Pwn2Own 2010 è impietoso: i browser più diffusi sono stati bucati al primo colpo. Safari, Internet Explorer 8, Firefox hanno resistito pochi secondi. L’unico browser a essere rimasto indenne è Chrome, a dimostrazione che l’isolamento dei processi è servito a Google per rendere davvero più sicuro della concorrenza il proprio software.
Ma a cadere è stato anche l’iPhone, attraverso una vulnerabilità in Safari che consente di prendere il controllo del database degli SMS dello smartphone di Cupertino. Ad aver individuato la vulnerabilità sull’iPhone è stato un duo composto dall’italiano Vincenzo Iozzo (vecchia conoscenza di oneITSecurity) e Ralf Philipp Weinmann che si è aggiudicato 15.000 dollari.
A piegare le ginocchia a Safari su Mac OS X invece ci ha pensato Charlie Miller, che conquista la terza vittoria consecutiva al Pwn2Own ottenendo 10.000 dollari.
Continua »
Pwn2Own è un famoso security contest che si tiene durante la conferenza CansecWest Conference. Tutti gli anni c’è una grossa ricompensa per chi riesce a trovare bug per i browser più popolari, per i sistemi operativi e per dispositivi mobili come l’iPhone. Negli ultimi due anni il vincitore del Pwn2Own è stato Charlie Miller (0xcharlie su Twitter), uno dei più famosi bug hunter in circolazione.
Pwn2Own 2010 si terrà nell’arco di tre giorni a partire dal 24 marzo, così abbiamo deciso di intervistare proprio Charlie Miller (english version here) per avere qualche anticipazione. Queste sono le sue risposte:
Hai vinto per due anni il Pwn2Own bucando Safari su Mac OS X. Safari e Mac saranno i tuoi target anche per il Pwn2Own 2010?
Qualsiasi cosa è il mio target in questo momento. Mi piacerebbe hackerare uno dei device mobili, ma probabilmente finirò su Safari di nuovo. Sono stato il primo a bucare l’iPhone e un device con Android in passato, per questo mi sento a mio agio con queste due piattaforme, ma è più difficile bucarle. Quest’anno soltanto una persona per target può vincere, per questo il mio ostacolo più grande sarà fare in modo che nessuno mi batta sul tempo.
Windows 7 o Snow Leopard, quali di questi due sistemi operativi commerciali sarà più difficile da hackerare e perché?
Windows 7 è leggermente più difficile perché implementa la ASLR (address space layout randomization) e ha una “superficie” d’attacco più ristretta (per esempio, niente Java o Flash di default). Windows solitamente è più difficile perché ha completa ASLR e DEP (data execution prevention). Tuttavia recentemente, un talk alla Black Hat DC è stato mostrato come aggirare queste protezioni in un browser su Windows.
Continua »
Pwn2Own is a famous contest held in CansecWest Conference. Every year there is a big reward for researchers who finds exploitable bugs in popular browser and OS and also in mobile devices like iPhone. For the past two years the Pwn2Own contest champion was Charlie Miller (0xcharlie on Twitter), one of the most famous bug hunter and security expert in the world.
Pwn2Own 2010 will will be held over the course of three days starting on March 24th, so, we decided to interview Charlie Miller (italian version here) and here are his anwers:
You won, for two years, Pwn2Own contest hacking Safari on Mac OS X. Will Safari and Mac be your targets for the Pwn2Own 2010 contest as well?
Everything is my target at this point. I’d love to hack one of the mobile devices, but will probably end up on Safari again. I was the first to hack the iPhone and an Android device in the past, so I am comfortable with those two platforms, but its harder to exploit them. This year only one person can win per target, so my biggest obstacle will be making sure nobody beats me to the punch.
Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?
Windows 7 is slightly more difficult because it has full ASLR (address space layout randomization) and a smaller attack surface (for example, no Java or Flash by default). Windows used to be much harder because it had full ASLR and DEP (data execution prevention). But recently, a talk at Black Hat DC showed how to get around these protections in a browser in Windows.
Continua »
Sembrava essere rimasto illeso Google Chrome all’ultimo Pwn2Own che si è svolto nello scorso mese di marzo, eppure arriva oggi un annuncio che lascia perplessi. Il browser della società di Mountain View, tanto apprezzato, oltre che per le sue funzionalità, anche per la sua sicurezza, soffriva di un problema abbastanza serio.
Si tratta di un bug che era già presente al momento dello svolgimento del contest e che praticamente è identico al problema di cui soffriva anche Safari e per il quale il browser di Apple ha ceduto durante la gara di hacking.
Continua »
PWN2OWN, la gara di hacking che si svolge ogni anno in Canada e che sarà tenuta nei prossimi giorni, quest’anno avrà un concorrente molto particolare, il browser Web Safari di Apple, che sarà preso come bersaglio dai partecipanti alla competizione durante la conferenza CanSecWest 2009.
È stato Charlie Miller, colui che ha vinto nell’edizione dell’anno scorso del concorso, a diffondere la notizia, spiegando che a suo parere Safari è facilissimo da mettere in crisi con i giusti mezzi a disposizione.
Continua »
