Sono 850 mila dollari, ed è la cifra complessiva sborsata dall’organizzativo del Pwn2Own 2014 a causa delle vulnerabilità scoperte dagli hacker – o ricercatori, come dir si voglia -partecipanti.
I team (ed i singoli partecipanti) hanno sfoggiato le armi messe a punto durante l’anno per abbattere a colpi di bug le applicazioni web ed i browser più conosciuti.
Un rapido resoconto ci dice che non ci sono stati superstiti: Internet Explorer, Mozilla Firefox (il più bersagliato), Safari e Google Chrome sono caduti sotto i colpi dei VUPEN, di Geohot e di altri hacker indipendenti, senza poi contare le vulnerabilità studiate – e sfruttate – per i tool Adobe (in particolare Adobe Flash e Adobe Reader).
Insomma, uno scenario piuttosto macabro ma che non va visto con occhio critico: contest come il Pwn2Own, infatti, hanno esattamente lo scopo di smascherare le vulnerabilità più nascoste e quasi invisibili delle applicazioni così da permettere alle software house produttrici di porvi rimedio, complici diversi mesi di studio da parte di team di sicurezza e hacker conosciuti e rinomati a livello mondiale.
Di seguito, ecco il resoconto di chi, con precisione, ha messo KO i vari software menzionati poc’anzi:
VUPEN:
- Adobe Flash (bypass della sandbox IE, esecuzione di codice)
- Adobe Reader (bypass della sandbox PDF, esecuzione di codice);
- Internet Explorer (gestione degli oggetti, bypass della sandbox);
- Mozilla Firefox (esecuzione di codice)
- Google Chrome (bypass della sandbox sia su Blink che su WebKit, esecuzione di codice)
Sebastian Apelt and Andreas Schmidt:
- Internet Explorer (esecuzione della calcolatrice di sistema)
Liang Chen (Keen Team):
- Apple Safari (esecuzione di codice remoto)
By George Hotz:
- Mozilla Firefox (eccezione read/write in memoria, esecuzione di codice)
Zeguang Zhao (team509) e Liang Chen (Keen Team):
- Adobe Flash (heap overflow, bypass della sandbox, esecuzione di codice)
Jüri Aedla:
- Mozilla Firefox (eccezione read/write in memoria, esecuzione di codice)
Mariusz Mlynski:
- Mozilla Firefox, due vulnerabilità (acquisizione di privilegi elevati, bypass delle misure di sicurezza del browser)
Partecipante anonimo:
- Google Chrome (bypass sandbox, esecuzione di codice)
In realtà è stato assestato anche un terzo attacco ad Internet Explorer ma è stato escluso poiché non eseguito entro il tempo limite di 30 minuti. Gli analisti di ZDI hanno tuttavia notato che la vulnerabilità è comunque efficace.
