pwn2own

Safari soccombe al Pwn2Own 2011

Nonostante le ultime patch per la sicurezza e il costante impegno di un’azienda come Apple per cercare di rendere il software nativo di Mac OS X più robusto, Safari non è riuscito a resistere all’attacco preparato per il Pwn2Own 2011. Un team di ricercatori dell’azienda francese VUPEN, infatti, è riuscito a sfruttare una falla presente nel browser realizzato dall’azienda di Cupertino per vincere l’edizione 2011 del contest.

L’attacco, messo a punto dagli esperti di VUPEN, consiste nell’indirizzare il browser ad un determinato sito Web e nell’ottenere, di conseguenza, il controllo della macchina sulla quale è in esecuzione Safari. Come sostiene Chaouki Bekrar (co-fondatore di VUPEN), il suo team ha messo a punto un exploit che approfitta di una falla “zero-day” presente nel browser e permette di eseguire l’applicazione Calcolatrice sulla macchina.

Ancora sulla sicurezza di Mac OS X

Dopo le rivelazioni di Charlie Miller (il vincitore delle ultime due edizioni del Pwn2Own), AppleInsider ha pubblicato un interessante articolo sulla sicurezza in ambiente Mac.

Come certamente ricorderete, Miller aveva sottolineato la maggiore facilità di bucare un sistema operativo come Mac OS X rispetto a Windows che, per ammissione dello stesso, pone in essere una serie di procedure per bloccare o controllare l’esecuzione di un exploit e, diversamente dal sistema operativo di Cupertino, bucare Windows è molto più difficile.

Miller, Mac OS X è più vulnerabile di Windows

Ricordate Charlie Miller? Sì, proprio lui, che un paio di giorni fa è riuscito a sfruttare una vulnerabilità presente in Safari e a bucare il sistema in meno di 10 secondi, accaparrandosi i 5.000$ messi in palio dal Pwn2Own (evento dedicato alla sicurezza software).

Quasi tutti pensavamo fosse finita lì: con la coda tra le gambe, di fronte al tonfo di Safari, eravamo tornati alle nostre vite, accarezzando il nostro Mac e sussurandogli al microfono: “Tranquillo, non è successo niente”.
Il sito ZDnet, però, ha avuto la pessima idea di fare due chiacchiere con Miller, cercando di capire qualcosa in più sul metodo usato ma, soprattutto, per avere un parere in termini di sicurezza e affidabilità. Le dichiarazioni di Miller, ve lo anticipo, ci lasciano tutti di sasso:

“Safari on the Mac is easier to exploit”

Pwn2Own, Safari cede per primo

C’era già riuscito l’anno scorso, bucando un MacBook Air in meno di due minuti (e portandosi a casa ben 10.000$), ma questa volta Charlie Miller si è superato: in meno di 10 secondi, Miller è riuscito a bucare Safari al Pwn2Own, il contest dedicato alla sicurezza software e sponsorizzato da TippingPoint.

La falla di sicurezza su cui Miller stava già lavorando da tempo, gli ha permesso di violare Safari nel giro di pochi secondi, semplicemente cliccando un URL malevolo appositamente creato:

“It’s not easy, but this worked with one click” ha dichiarato Miller