Sicurezza

Pwn2Own: tutti i browser violati, ma Firefox è il peggiore

Con cadenza annuale, si svolge un evento che si chiama "Pwn20wn", dove team di ricercatori di sicurezza si uniscono alla ricerca di falle nei software per la fruizione web, il tutto per riuscire a vincere il montepremi in palio che può anche superare il milione di dollari.

Ebbene, durante il primo giorno dell'evento sono stati violati vari software, in particolare si è distinto il francese Vupen, in grado di scovare falle 0-day su prodotti come Adobe Flash e Reader, Firefox ed Internet Explorer. Il ricercatore si è così guadagnato un premio di 300 mila dollari.

Un team al lavoro. Lo scenario è spartano, ma quel che conta è la sostanza.

Internet Explorer è stato colpito anche dai ricercatori Sebastian Apelt ed Andreas Schmidt che hanno scovato una ulteriore falla 0-day e altri problemi nella gestione della memoria. Durante la prima tornata, Chrome è parso intoccabile.

L'immunità del browser di Google è però venuta a cadere durante il secondo giorno, dove è stato trovato vulnerabile al pari di molti altri software. Ad avere la peggio però è ancora Mozilla Firefox, una ulteriore falla 0-day scoperta che va ad assommarsi alle tre (!) del primo giorno di competizione.

E Safari? Il team "Keen" è stato l'unico gruppo a trovare una falla, usando un memory overflow in congiunzione con un bypass sandbox, scovando quindi un sistema per eseguire del codice arbitrario anche nel browser di Apple.

HP è lo sponsor ufficiale dell'evento. Nel secondo giorno sono stati messi in palio ben 450.000 dollari.

Mozilla si è subito adoperata per tappare le falle dichiarando che "siamo al lavoro in modo di risolvere al più presto tutti i bug scoperti, rilasceremo i fix la prossima settimana". Stamm, Senior Engineering Manager of Security and Privacy di Mozilla, ha proseguito tranquillizzando l'utenza in quanto le vulnerabilità non sono state rese pubbliche, pertanto si verrà a conoscenza di quali fossero solo durante il giorno in cui verrà rilasciata la patch.

Ha anche dichiarato che "Pwn2Own offre grossi incentivi finanziari ai ricercatori per svelare le falle, una buona motivazione per i ricercatori per mostrare quelle di Firefox solo durante l'evento". Effettivamente la manifestazione offre lauti introiti a chi vi partecipa, soprattutto se paragonato ai "bounty programs" indetti dai vari produttori di software.

Pensando a ciò che ha detto Stamm, Mozilla offre ricompense ridotte -attorno ai 3000 $ per ogni falla scoperta- rispetto a quelle di Google o Microsoft che possono arrivare a pagare anche 100.000 dollari per le vulnerabilità scoperte su IE o Chrome.

E' quindi evidente come i ricercatori, pur votandosi a migliorare la sicurezza dei programmi online.. guardino anche – e  a ragione – al "vil denaro" delle ricompense!