MegaLab.it

Inviato: **lun feb 11, 2013 6:00 pm**

I prossimi 6,7,8 Marzo si svolgerà come al solito a Vancouver la manifestazione in titolo citata.
Non c'è più speranza di una verifica di Opera. [nonono]

Secondo me a torto visto che almeno nel settore mobile è uno dei browser più diffusi ed usati.
Ecco quest'anno le varie chicche:

http://dvlabs.tippingpoint.com/blog/201 ... n2own-2013

Inviato: **lun feb 11, 2013 7:20 pm**

Chrome reggerà ai geni dell'hacking? [std]

Inviato: **lun feb 11, 2013 8:45 pm**

Ricordo ai lettori che le impostazioni saranno rigorosamente quelle a default.

@ Farbix farebbero comodo a molti tutti quei dollari !! [:D]

Inviato: **mar mar 05, 2013 7:30 pm**

Inizia domani. [applauso+]

Non sò se avete notato che da poco Chrome ha aggiornato la ver:

Versione 25.0.1364.152 m

Inviato: **gio mar 07, 2013 2:22 pm**

Poche notizie fino ad adesso:

http://blog.html.it/07/03/2013/pwn2own- ... ed%3A+Edit

ma comunque clamorose !! [rolleyes]

Aspettiamo riscontri con maggiori info.

p.s. Ragazzi usate sandboxIE:

1:30 - Java (James Forshaw) PWNED

2:30 - Java (Joshua Drake) PWNED

3:30 - IE 10 (VUPEN Security) PWNED

4:30 - Chrome (Nils & Jon) PWNED

5:30 - Firefox (VUPEN Security) PWNED

05:31 - Java (VUPEN Security) PWNED

Inviato: **gio mar 07, 2013 3:12 pm**

Chrome è stato compromesso anche quest'anno (stavolta sfruttando anche una vulnerabilità nel kernel di Windows).

http://labs.mwrinfosecurity.com/blog/2013/03/06/pwn2own-at-cansecwest-2013/

[devil]

Inviato: **gio mar 07, 2013 3:22 pm**

Interessante l'aspetto tecnico simile per target alle edizioni passate. [^]

(Usiamo EMET che è sempre meglio)

Ma anche I.E.10 e Firefox sono stati bucati. [;)]

Inviato: **gio mar 07, 2013 3:22 pm**

EDIT: Mi ha preceduto sampei di qualche secondo.

Giusto per completezza: mi ero dimenticato di riportare che sono stati compromessi anche Internet Explorer 10, Mozilla Firefox 19 e Java 7.

http://news.softpedia.com/news/Major-Browsers-Java-Hacked-on-the-First-Day-of-Pwn2Own-2013-335279.shtml

[fischio]

Inviato: **gio mar 07, 2013 3:24 pm**

sampei.nihira ha scritto:(Usiamo EMET che è sempre meglio)

Se la vulnerabilità individuata è al livello del kernel, l'utilità di Emet è pressoché nulla.

Inviato: **gio mar 07, 2013 3:33 pm**

Occorre attendere notizie più dettagliate.
Se la vulnerabilità kernel è disgiunta ed autonoma dal bypass DEP/ASLR si altrimenti...... ni [:D]

Adesso mi aspetto anche il pwned di Flash. [boh]

p.s. Di Adobe Reader non me ne curo !!!

Inviato: **gio mar 07, 2013 3:50 pm**

Interessante sarà inoltre per noi tutti che abbiamo (purtroppo) JAVA installato, conoscere se i 3 bypass dello stesso attribuiti a VUPEN,James Forshaw,Joshua Drake hanno seguito un percorso comune oppure no.

Inviato: **gio mar 07, 2013 5:00 pm**

Ma secondo te sampei c'era qualche speranza? A quell'evento partecipano i "mostri"! [bleh]

Scommetterei 1000 euro sulla vulnerabilità di qualsiasi protezione e contromisura adottata nel mondo...quelli aprono SandboxIE con un grissino! [:D]

E a ruota EMET e tutti i suoi filistei...nessuno è al sicuro se uno di questi tipi di prende di mira! [:D]

Inviato: **gio mar 07, 2013 6:18 pm**

Eh già Farbix !! [^]

Peccato che non viene neppure considerato Opera.
E dire che dovrebbe essere una chicca maggiore di Adobe Reader !!

Comunque c'è da dire che l'aspetto positivo per noi utenti è quello che dopo il contest plug-in e browser subiscono un aggiornamento versione e quindi diventano immediamente più sicuri rispetto a prima.

C'è anche da considerare l'aspetto default del tutto.
E mi concentro sui browser.
Quindi se,come inizio sequenza che porterà al pwned,si visita una pagina web ad hoc,non è detto che il mio browser oppure il tuo browser siano vulnerabili ugualmente a quella linea di eventi che porteranno al buco.
Basta che la pagina web malformata necessiti di javascript quando il nostro setting prevede che gli stessi siano a deafult disattivi..........e così via....

Però naturalmente il pwned...resta e vorrei vedere !! [:)]

Inviato: **gio mar 07, 2013 6:44 pm**

Senza considerare che non hanno messo in concorso Windows 8 (o no?) che qualche "strato di alluminio leggero da cucina" lo aggiunge in ambito security (magari fermano questi tipi per 2 secondi in più,ma sempre 2 secondi guadagnati sono...)

Inviato: **gio mar 07, 2013 9:27 pm**

Flash bucato da VUPEN. [boh]

Inviato: **gio mar 07, 2013 9:52 pm**

Rimangono Adobe Reader, Safari e Chrome OS.

[fischio]

Inviato: **ven mar 08, 2013 8:25 am**

Il bug di Google Chrome dovrebbe essere stato risolto con l'ultimo aggiornamento:

http://googlechromereleases.blogspot.it/2013/03/stable-channel-update_7.html

L'identificativo della falla è CVE-2013-0912 (al momento non restituisce dettagli).

EDIT:

Anche per Flash Player qualcosa si sta muovendo...

[fischio]

Inviato: **ven mar 08, 2013 12:48 pm**

En plein !! [boh]

Bucati anche Adobe Reader per merito di George Hotz.
Ed ancora JAVA per merito di Ben Murphy via proxy.

Inviato: **ven mar 08, 2013 12:54 pm**

Io non mi sorprenderei,viste le forze in gioco.

Attualmente c'è un divario ENORME tra le conoscenze di questi tizi e i "buoni" (esperti di sicurezza e programmatori).

I buoni inseguono,e i tizi ridono...trasformano tutto in burro [:D]

Inviato: **ven mar 08, 2013 2:58 pm**

Ne rimangono due:

Che io sappia, in questo contest, nessun candidato si misurato con Safari.
Sono curioso di vedere cosa succederà con Chrome OS.

MegaLab.it

Pwn2Own 2013

Pwn2Own 2013

Re: Pwn2Own 2013

Re: Pwn2Own 2013

Re: Pwn2Own 2013

Re: Pwn2Own 2013

Re: qual è la vostra configurazione di sicurezza ?

Re: qual è la vostra configurazione di sicurezza ?

Re: qual è la vostra configurazione di sicurezza ?

Re: qual è la vostra configurazione di sicurezza ?

Re: qual è la vostra configurazione di sicurezza ?

Re: qual è la vostra configurazione di sicurezza ?

Re: Pwn2Own 2013

Re: Pwn2Own 2013

Re: Pwn2Own 2013

Re: qual è la vostra configurazione di sicurezza ?

Re: qual è la vostra configurazione di sicurezza ?

Re: Pwn2Own 2013

Re: Pwn2Own 2013

Re: Pwn2Own 2013

Re: R: Pwn2Own 2013