Tom's Hardware Italia
Sicurezza

Al Pwn2Own bucati tutti i browser, Chrome quello con la pelle più dura

Alla competizione tra hacker Pwn2Own cadono tutti i browser sotto i colpi di un ricercatore sudcoreano che ha vinto 225mila dollari. Chrome è stato il browser più difficile da bucare.

Nei giorni scorsi si è tenuto il Pwn2Own, un evento in cui i ricercatori di sicurezza mettono alla prova le difese dei browser più diffusi. I ricercatori si recano a questa manifestazione preparati, ossia sanno già dove colpire nella speranza di portarsi a casa un lauto bottino, messo a disposizione dalle aziende del settore, come Google e Microsoft.

Quest'anno nessuno dei browser in competizione è uscito indenne. I ricercatori hanno scoperto numerose vulnerabilità. Chrome è forse quello che ne è uscito meglio, con una sola falla rintracciata, seguito da Safari (due vulnerabilità), Firefox (3 vulnerabilità) e Internet Explorer (4 vulnerabilità).

browser war

I ricercatori hanno rintracciato falle anche in altri software, come Flash e Reader di Adobe (3 vulnerabilità) e Windows (5 falle). In totale sono stati pagati ai ricercatori 557.500 dollari, ma la "star" dell'evento è stata senza ombra di dubbio il sudcoreano Jung Hoon Lee, che ha bucato Chrome (sia in versione stabile che beta) e altri software, portandosi a casa 225.000 dollari, 110.000 dei quali raccolti in soli due minuti. Praticamente 915 dollari circa al secondo.

Kaspersky Lab Internet Security 2015 Kaspersky Lab Internet Security 2015
Norton security Norton Security
Avira Internet Security Avira Internet Security

"Il suo hack", spiega Ars Technica, "è iniziato provando una race condition tramite buffer overflow in Chrome. Per permettere all'attaco di passare i meccanismi anti-exploit come la sandbox e l'address space layout randomization, Jung Hoon Lee ha sfruttato un information leak e una race condition in due driver del kernel Windows, un risultato impressionante che ha permesso all'exploit di ottenere accesso completo al sistema".

Non sorprende che Internet Explorer sia stato il software più vulnerabile, ma d'altronde Microsoft ha deciso di cambiare strada con Windows 10. L'azienda ha optato per la realizzazione di un nuovo browser, noto con il nome Project Spartan, il quale si lascerà alle spalle gran parte del vecchio codice che IE si porta dietro come eredità degli anni passati – e per questioni di compatibilità – al fine di rispondere meglio agli standard del web attuale e soprattutto dei consumatori.

Anche Mozilla intende fare passi avanti nell'ambito della sicurezza, rimpiazzando parti del browser Firefox con componenti scritti nel linguaggio di programmazione a basso livello Rust. Servirà probabilmente del tempo prima che avvenga un passaggio completo. A ogni modo, la palla passa ora agli sviluppatori dei browser e dei software "bucati", chiamati nei prossimi mesi a chiudere le vulnerabilità riscontrate.