Safari di Apple ha resistito indenne al Pwn2Own, la gara di hacking che si è tenuta durante la conferenza CanSecWest, invece tutti gli altri browser sono stati buchati: Chrome, Firefox, Internet Explorer 10, Java e Windows 8. Firefox è stato bucato grazie a una tecnica che bypassa l’Address Space Layout Randomisation e la Data Execution Prevention di Windows, due sistemi che randomizzano l’assegnazione dei dati agli spazi di memoria. Il team di VUPEN Security è riuscito a bucare l’ultima versione del browser Microsoft integrato in Windows 8 sul tablet Surface Pro, sfruttando due vulnerabilità zero-day che hanno permesso di superare le difese della sandbox del sistema operativo. Java 7 è stato bucato sfruttando l’heap overflow (un sovraccarico nell’aria dati della memoria).

Il team MWR Labs grazie ad un exploit gli ha permesso di superare le difese di Windows 7, sfruttando diverse vulnerabilità zero-day di Chrome 25 e dello stesso sistema operativo, visitando una pagina web nella quale era stato preparato un codice in grado di attivare i processi nella sandbox. Sfruttando anche una vulnerabilità del kernel, il team ha bypassato i meccanismi di protezione della memoria Address Space Layout Randomisation e Data Execution Prevention. A breve toccherà ai plugin Reader e Flash di Adobe.

La vincita totale vinta dagli hacker ammonta a 260.000 dollari.

fonte | macitynet