Tutti i principali browser Web, tra cui Chrome, Firefox, Internet Explorer e Safari, sono stati incrinati durante il concorso Pwn2Own di due giorni di quest'anno gestito da Zero Day Initiative (ZDI) di HP..

Sono state rilevate due vulnerabilità in Google Chrome, tra cui un bypass sandbox e un bug arbitrario di lettura / scrittura, che ha comportato l'esecuzione di codice. Quest'ultimo è stato considerato una vittoria parziale, poiché una parte di esso è stata scoperta in precedenza a Pwnium.

Sono stati rilevati tre bug liberi da utilizzare dopo l'uso e un bug del kernel che consentiva l'apertura della calcolatrice di sistema in Microsoft Internet Explorer.

In Mozilla Firefox sono stati rilevati due bug di lettura / scrittura non associati con conseguente esecuzione del codice, oltre a un bug utilizzabile dopo l'uso che consente un bypass sandbox. Sono stati rilevati altri due problemi che consentono l'escalation dei privilegi all'interno del browser e un bypass della misura di sicurezza.

Un heap overflow e un sandbox bypass risultante nell'esecuzione del codice sono stati individuati in Apple Safari.

Non erano nemmeno tutti i browser web. Un altro overflow dell'heap e un bypass sandbox sono stati scoperti in Adobe Flash e Adobe Reader, oltre a un bypass sandbox Internet Explorer da utilizzare dopo l'uso in Flash.

Di proprietà

Gli sponsor della competizione, Google e ZDI, hanno anche mostrato alcuni bug che hanno trovato come parte della parte di Pwn4Fun dell'evento, che probabilmente non era molto divertente per i creatori di browser mirati.

Google ha mostrato come potrebbe sfruttare Safari per aprire Calcolatrice come root su Mac OS X, mentre ZDI ha lanciato Scientific Calculator utilizzando un exploit di sandbox bypass in Internet Explorer.

Un totale di $ 850.000 è stato pagato ai vincitori nei due giorni, oltre a laptop, punti ZDI e altri premi. $ 82.500 sono stati dati anche alla Croce Rossa canadese da Google e ZDI.

Tutte le vulnerabilità scoperte sono state segnalate alle rispettive società in modo che possano essere indirizzate nelle patch future.

Via ZDNet

  • Quale browser dovresti usare?