Al Pwn2Own sono bastati 5 secondi per arrostire Safari su Mac
10/03/2011 09:00 CET
Chrome ha retto al primo giorno di attacchi mentre IE8 e Safari sono caduti sotto il codice studiato dai ricercatori.
Apple ha voluto aspettare fino all’ultimo per rilasciare aggiornamenti di Java ed iTunes, ancora di più per iOS e Safari.
Sforzi inutili, almeno su Mac, perché alla competizione Pwn2Own, della conferenza CanSecWest 2011 di Vancouver, gli specialisti della sicurezza hanno agevolmente sfondato le protezioni del browser di Apple su Mac. Si spera nell’ultima versione di ieri sera.
Il team francese VUPEN (capitanato da Chaouki Bekrar) ci ha impiegato 5 secondi per sconfiggere Safari, bypassando le protezioni ASLR/DEP, appena aggiornato alla versione 5.0.4 su MacBook Pro @ 64 bit, la vulnerabilità in WebKit sarebbe stata scoperta in 3 settimane di ricerche, senza molta documentazione. VUPEN ha vinto 15.000 dollari ed un MacBook Air 13″.
Chrome ha invece superato il primo giorno di attacchi. Non la stessa sorte è toccata ad IE – Internet Explorer versione 8 @ 32 bit su Windows 7 SP1 @ 64 bit, anch’esso colpito al Pwn2Own, per mano di Stephen Fewer (Harmony Security).
Tutti i dettagli saranno chiariti solo dopo aver fornito un patch per questo problema, fa parte delle regole della competizione.