Pwn2Own 2016, molte (troppe) vulnerabilità in Safari e OS X

Anche quest'anno, come da tradizione, si è tenuta la conferenza di sicurezza CanSecWest e come di consueto i partecipanti si sono sfidati nella gara di hacking del Pwn2Own. Grazie alla quale sono state identificate molte nuove falle in Safari e OS X.

Succede praticamente ogni anno. Gli esperti di sicurezza si incontrano, e le difese dei PC Mac e Windows vengono giù come gelato fuori dal freezer. Solo nella prima giornata, il ricercatore JungHoon Lee si è aggiudicato 60.000$ bucando sia OS X che Safari, per un totale di 4 vulnerabilità:


JungHoon Lee (lokihardt): ha dimostrato un attacco con esecuzione di codice in Apple Safari per guadagnare i privilegi di root. L'attacco consisteva di quattro nuove vulnerabilità: una vulnerabilità Use-after-free in Safari e tre vulnerabilità aggiuntive, incluso un heap overflow per arrivare a root. Questa dimostrazione li ha guadagnato 10 punti Master of Pwn e 60.000 dollari.

Nel mentre, il Tencent Security Team Shield è riuscito a eseguire del codice che gli ha guadagnato i privilegi di amministratore attraverso Safari, utilizzando altre due vulnerabilità use-after-free che gli hanno fatto portare a casa 40.000 dollari cash. In totale, i partecipanti si sono aggiudicati 282.500$ di premi, attaccando anche altri browser e plugin, come Adobe Flash, Google Chrome e Microsoft Edge su Windows.

In ogni caso, niente paura. Apple è stata già informata e gli aggiornamenti software per correggere le falle sono già probabilmente già in arrivo.

pwn2own_2016_osx.jpg

  • shares
  • Mail