www.MegaLab.it

[sampei.nihira]

Primo giorno al Pwn2Own 2011 già bucati Safari 5.0.3 (su Mac) e Internet Explorer 8 (Windows 7).
Bypassati DEP e ASLR.

http://punto-informatico.it/3107541/PI/ ... i-ie8.aspx

http://www.tomshw.it/cont/news/safari-e ... 155/1.html

[francesco betatester]

Vediamo cosa succederà con firefox.

Evvai senior member

[eugenio19911]

vorrei vedere opera come si comporta però per la gara non c'è mi devo accontentare di vedere crome

[sampei.nihira]

Questo contest dimostra che i vari browser possono, sempre in ogni momento, soffrire di vulnerabilità latenti non individuate sfruttabili.
Chrome mi pare di leggere ha beneficiato di un recente aggiornamento che quindi probabilmente ha reso vano l'exploit del ricercatore che si era iscritto nel tentativo di bucarlo,che sembra non sia sia presentato.
Senza l'aggiornamento recente avrebbe fatto probabilmente la fine dei browser suddetti.
Resta da capire perché Safari non ha potuto beneficiare dell'aggiormento, mentre Chrome sì.
Se così fosse mi sembrerebbe una grossa disparità.
In merito ad I.E.9 Microsoft si è affrettata di divulgare che la recente brutta figura al contest non riguarda l'ultima versione del suo browser in uscita che sembrerebbe indenne, ovvio, a quella serie di exploit.

Domani tocca a Firefox.

Comunque "blindare" il proprio browser tramite l'uso di EMET 2 e dotarlo di una sandbox è sempre una mossa vincente.
Io credo che questo contest dimostra a tutti come i browser web siano l'elemento più importante di una configurazione di sicurezza.

[Pacopas]

Resta da capire perché Safari non ha potuto beneficiare dell'aggiormento, mentre Chrome sì.
Se così fosse mi sembrerebbe una grossa disparità.

Nel regolamento venivano accettate versioni presentate entro una settimana, leggevo in giro, dell'inizio del contest escludendo le versioni di sviluppo.

Chrome era in tempo, per Safari la Apple ha rilasciato due aggiornamenti... mi pare, uno è rientrato nella tempistica l'altro invece è stato rilasciato solo poche ore prima quindi non ammesso.

è logico infatti dare un minimo di scadenza, per permettere ai contendenti di sapere cosa si troveranno di fronte con un po' di anticipo.

La stessa motivazione non vede comparire ie9 (ho letto che ve lo chiedevate nei commenti alla preview della RC) e Firefox 4

Webkit mi sembra il più vulnerabile anche lo smartphone RIM è stato bucato per una falla in webkit ... google deve aver fatto un buon lavoro... in quello che implementa nel suo browser

Opera non preso in considerazione.

firefox? si sa niente? non ancora bucato?

Comunque "blindare" il proprio browser tramite l'uso di EMET 2 e dotarlo di una sandbox è sempre una mossa vincente

anche secondo me.. ma non credo centri col la invulnerabilità di chrome... in questi contest ti possono trovare un baco anche in quello
penso che Google si sia invece concentrata parecchio in questo ultimo anno ad eliminare e ricercare o far ricercare tutti i bug del codice e a correggerli ... un bel lavoro considerando i risultati

[sampei.nihira]

Proprio oggi ho letto in merito che il team VUPE avrebbe (non ho dati precisi in merito a tale affermazione) pronto un exploit efficace per I.E.9.
E quindi, come al solito, il prodotto Microsoft non solo si conferma il browser più attaccabile,ma anche quello più studiato.

Opera non è mai stato preso in considerazione per la poca diffusione.

[pcxrt]

ma anche safari è sugli stessi livelli di diffusione...
per quanto riguarda safari da punto informatico leggo: "Il team Vupen che ieri ha superato le difese di Safari 5.0.3 ci tiene invece a puntualizzare l'opposto: è vero che la prova ufficiale è stata eseguita sulla penultima release del browser desktop, ma le vulnerabilità tappate recentemente da Cupertino nella versione 5.0.4 non risolvono tutti i problemi."