Software

Pwn2Own 2017, gli hacker umiliano i browser Edge e Safari

L'hacking contest Pwn2Own 2017 ha celebrato il suo decimo anniversario, ma ha anche messo in luce le troppe debolezze del browser Edge e anche del sistema operativo Windows 10, che sono stati hackerati facilmente più e più volte. A onor del vero bisogna anche dire che si tratta anche dei software maggiormente attaccati nei tre giorni della manifestazione, ma la maggior parte degli attacchi sono comunque riusciti. Inoltre la scelta potrebbe essere stata dettata proprio dalla consapevolezza da parte dei team di una debolezza strutturale che avrebbe favorito il successo.

pwn2own logo 930x488

Comparativamente Google Chrome, risultato il miglior browser della competizione, è stato attaccato solo una volta, ma l'attacco è comunque fallito. Se Microsoft piange comunque Apple non ride: il suo Safari infatti è stato il secondo peggior browser in fatto di sicurezza con tre attacchi e mezzo riusciti su quattro effettuati (il quarto è stato considerato fallito solo perché il tempo a disposizione è scaduto prima).

In particolare i punti deboli di Microsoft sono stati individuati nell'engine JavaScript Chakra – al centro di due attacchi, uno tramite scrittura arbitraria e uno sfruttando una vulnerabilità di tipo UAF (Use-Afetr-Free) – e nel kernel di Windows 10, anch'esso al centro di due attacchi che ne hanno sfruttato un bug per elevare i permessi.

Terzo è arrivato Firefox, assente all'edizione 2016 della manifestazione. La sensazione però è che in realtà il browser sia ancora molto indietro nella sicurezza, soprattutto per quanto riguarda l'implementazione di sistemi sandbox. Il browser è stato attaccato solo due volte, ma su due attacchi subiti uno è riuscito, quindi sembra probabile che se fosse stato preso maggiormente di mira si sarebbe potuto trovare in una posizione di classifica completamente diversa.

464297 microsoft edge browser

Microsoft ha dunque bisogno di migliorare decisamente in ambito sicurezza per quanto riguarda il browser Edge e il kernel di Windows 10, anche se probabilmente la chiave di tutto è una certa lentezza nello scovare e risolvere i bug (il contest infatti consente di sfruttare unicamente bug di tipo zero-day, ancora ignoti cioè all'azienda). Apple si trova grossomodo nella stessa identica posizione.

Firefox invece per questa volta se l'è cavata ma la sensazione è che il prossimo anno, se non avrà compiuto passi in avanti significativi, sarà colpito molto più duramente. In questo scenario dunque solo Google può sorridere visto che il suo Chrome si è confermato ancora una volta il re della collina.