Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Pwn2Own 2013

Se vuoi segnalare un sito che reputi interessante, posta qui il tuo messaggio. Lo spam verrà eliminato senza possibilità di appello.

Pwn2Own 2013

Messaggioda sampei.nihira » lun feb 11, 2013 6:00 pm

I prossimi 6,7,8 Marzo si svolgerà come al solito a Vancouver la manifestazione in titolo citata.
Non c'è più speranza di una verifica di Opera. [nonono]
Secondo me a torto visto che almeno nel settore mobile è uno dei browser più diffusi ed usati.
Ecco quest'anno le varie chicche:


http://dvlabs.tippingpoint.com/blog/201 ... n2own-2013
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Pwn2Own 2013

Messaggioda farbix89 » lun feb 11, 2013 7:20 pm

Chrome reggerà ai geni dell'hacking? [std] [sh]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Pwn2Own 2013

Messaggioda sampei.nihira » lun feb 11, 2013 8:45 pm

Ricordo ai lettori che le impostazioni saranno rigorosamente quelle a default.

@ Farbix farebbero comodo a molti tutti quei dollari !! [:D]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am


Re: Pwn2Own 2013

Messaggioda sampei.nihira » mar mar 05, 2013 7:30 pm

Inizia domani. [applauso+] [applauso+]
Non sò se avete notato che da poco Chrome ha aggiornato la ver:

Versione 25.0.1364.152 m
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Pwn2Own 2013

Messaggioda sampei.nihira » gio mar 07, 2013 2:22 pm

Poche notizie fino ad adesso:

http://blog.html.it/07/03/2013/pwn2own- ... ed%3A+Edit

ma comunque clamorose !! [rolleyes]
Aspettiamo riscontri con maggiori info.

p.s. Ragazzi usate sandboxIE:

1:30 - Java (James Forshaw) PWNED

2:30 - Java (Joshua Drake) PWNED

3:30 - IE 10 (VUPEN Security) PWNED

4:30 - Chrome (Nils & Jon) PWNED

5:30 - Firefox (VUPEN Security) PWNED

05:31 - Java (VUPEN Security) PWNED
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda hashcat » gio mar 07, 2013 3:12 pm

Chrome è stato compromesso anche quest'anno (stavolta sfruttando anche una vulnerabilità nel kernel di Windows).

http://labs.mwrinfosecurity.com/blog/2013/03/06/pwn2own-at-cansecwest-2013/

[devil]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda sampei.nihira » gio mar 07, 2013 3:22 pm

Interessante l'aspetto tecnico simile per target alle edizioni passate. [^]
(Usiamo EMET che è sempre meglio)

Ma anche I.E.10 e Firefox sono stati bucati. [;)] [bleh] [ciao]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda hashcat » gio mar 07, 2013 3:22 pm

EDIT: Mi ha preceduto sampei di qualche secondo.


Giusto per completezza: mi ero dimenticato di riportare che sono stati compromessi anche Internet Explorer 10, Mozilla Firefox 19 e Java 7.

http://news.softpedia.com/news/Major-Browsers-Java-Hacked-on-the-First-Day-of-Pwn2Own-2013-335279.shtml

[fischio]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda hashcat » gio mar 07, 2013 3:24 pm

sampei.nihira ha scritto:(Usiamo EMET che è sempre meglio)

Se la vulnerabilità individuata è al livello del kernel, l'utilità di Emet è pressoché nulla.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda sampei.nihira » gio mar 07, 2013 3:33 pm

Occorre attendere notizie più dettagliate.
Se la vulnerabilità kernel è disgiunta ed autonoma dal bypass DEP/ASLR si altrimenti...... ni [:D] [:D]
Adesso mi aspetto anche il pwned di Flash. [boh]

p.s. Di Adobe Reader non me ne curo !!!
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda sampei.nihira » gio mar 07, 2013 3:50 pm

Interessante sarà inoltre per noi tutti che abbiamo (purtroppo) JAVA installato, conoscere se i 3 bypass dello stesso attribuiti a VUPEN,James Forshaw,Joshua Drake hanno seguito un percorso comune oppure no.
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Pwn2Own 2013

Messaggioda farbix89 » gio mar 07, 2013 5:00 pm

Ma secondo te sampei c'era qualche speranza? A quell'evento partecipano i "mostri"! [bleh]

Scommetterei 1000 euro sulla vulnerabilità di qualsiasi protezione e contromisura adottata nel mondo...quelli aprono SandboxIE con un grissino! [:D]

E a ruota EMET e tutti i suoi filistei...nessuno è al sicuro se uno di questi tipi di prende di mira! [:D]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: Pwn2Own 2013

Messaggioda sampei.nihira » gio mar 07, 2013 6:18 pm

Eh già Farbix !! [^]
Peccato che non viene neppure considerato Opera.
E dire che dovrebbe essere una chicca maggiore di Adobe Reader !!

Comunque c'è da dire che l'aspetto positivo per noi utenti è quello che dopo il contest plug-in e browser subiscono un aggiornamento versione e quindi diventano immediamente più sicuri rispetto a prima.

C'è anche da considerare l'aspetto default del tutto.
E mi concentro sui browser.
Quindi se,come inizio sequenza che porterà al pwned,si visita una pagina web ad hoc,non è detto che il mio browser oppure il tuo browser siano vulnerabili ugualmente a quella linea di eventi che porteranno al buco.
Basta che la pagina web malformata necessiti di javascript quando il nostro setting prevede che gli stessi siano a deafult disattivi..........e così via....

Però naturalmente il pwned...resta e vorrei vedere !! [:)]

[ciao]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Pwn2Own 2013

Messaggioda farbix89 » gio mar 07, 2013 6:44 pm

Senza considerare che non hanno messo in concorso Windows 8 (o no?) che qualche "strato di alluminio leggero da cucina" lo aggiunge in ambito security (magari fermano questi tipi per 2 secondi in più,ma sempre 2 secondi guadagnati sono...)
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda sampei.nihira » gio mar 07, 2013 9:27 pm

Flash bucato da VUPEN. [boh] [ciao]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: qual è la vostra configurazione di sicurezza ?

Messaggioda hashcat » gio mar 07, 2013 9:52 pm

Rimangono Adobe Reader, Safari e Chrome OS.

[fischio]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Pwn2Own 2013

Messaggioda hashcat » ven mar 08, 2013 8:25 am

Il bug di Google Chrome dovrebbe essere stato risolto con l'ultimo aggiornamento:

http://googlechromereleases.blogspot.it/2013/03/stable-channel-update_7.html

L'identificativo della falla è CVE-2013-0912 (al momento non restituisce dettagli).

EDIT:

Anche per Flash Player qualcosa si sta muovendo...

[fischio]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Pwn2Own 2013

Messaggioda sampei.nihira » ven mar 08, 2013 12:48 pm

En plein !! [boh]
Bucati anche Adobe Reader per merito di George Hotz.
Ed ancora JAVA per merito di Ben Murphy via proxy.
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Pwn2Own 2013

Messaggioda farbix89 » ven mar 08, 2013 12:54 pm

Io non mi sorprenderei,viste le forze in gioco.

Attualmente c'è un divario ENORME tra le conoscenze di questi tizi e i "buoni" (esperti di sicurezza e programmatori).

I buoni inseguono,e i tizi ridono...trasformano tutto in burro [:D]
Avatar utente
farbix89
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 14093
Iscritto il: ven feb 13, 2009 10:09 pm

Re: R: Pwn2Own 2013

Messaggioda hashcat » ven mar 08, 2013 2:58 pm

Ne rimangono due:

Che io sappia, in questo contest, nessun candidato si misurato con Safari.
Sono curioso di vedere cosa succederà con Chrome OS.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Prossimo

Torna a Avvistamenti nella rete

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising