Pwn2Own: Dopo Chrome, cade Internet Explorer

CyberwarMarketingSicurezza

A CanSecWest Pwnium il primo a cadere, sotto i colpi dei gruppi di hacking, era stato Chrome: ma Google ha risolto la vulnerabilità in meno di 24 ore. Ora l’onta della sconfitta toocca a Internet Explorer 9: la falla era senza patch da tempo

Dopo Chrome, cade un’altra testa: quella di Internet Explorer. Anche IE9 è stato hackerato sfruttando due vulnerabilità zero-days. L’attacco a esecuzione di codice funziona anche sul prossimo Internet Explorer 10 (consumer preview) sull’anteprima di Windows 8. A mandare a KO Internet Explorer è stato l’hacking team VUPEN. Chaouki Bekrar ha anche detto che le falle usate sono senza patch da molto tempo. Microsoft ha promesso che rimedierà quanto prima a sanare la falla.

Ma l’hacker mette una buona parola su IE 10 consumer preview: è a meno rischio exploit, grazie alle protezioni aggiunte da Microsoft (mitigazioni in tema di use-after-free e memory leaks), ma sono “protezioni” con un costo. L’Exploitation è in effetti più difficile e richiede più tempo, ma il prezzo è alto: “i prezzi delle vulnerabilità e degli exploit salgono“.

A CanSecWest Pwnium era stata bypassata la sandbox di Chrome da Sergey Glazunov. Google ha dovuto pagare 60.000 dollari a un ragazzo, brillante hacker, capace di sfruttare le falle (exploit zero-day) su un PC con browser Chrome. A 24 ore dalla scoperta della vulnerabilità, bisogna dare atto a Google di essere già corsa ai ripari: falla risoltain meno di un giorno.

Vupen mette a KO IE9
Vupen mette a KO IE9
Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore