Il Pwn2own 2016 ormai è una maratona consolidata che, durante la conferenza CanSecWest, offre ai ricercatori un modo di guadagnare anche ingenti somme di denaro violando i più noti software utilizzati e ai produttori di tali software un modo di scoprire vulnerabilità e 0day prima ignoti per rilasciare patch e correzioni.
Anche quest’anno, la conferenza ha mietuto un bel po’ di vittime: per un totale di 460mila dollari assegnati, cadono sotto i colpi degli hacker i browser Google Chrome, Microsoft Edge, Safari, l’ospite d’onore Flash e – per la prima volta dopo tanto tempo – i sistemi operativi Windows e OS X, per un totale di 21 vulnerabilità scoperte.
Parliamo dei browser: il migliore dei tre è stato Google Chrome, che è riuscito a “sopravvivere” ad uno dei due tentati attacchi – con il secondo che è stato definito un successo parziale, poiché la vulnerabilità sfruttata era già stata segnalata a Google indipendentemente dall’evento, dunque non ha ottenuto il punteggio pieno.
Edge e Safari, invece, non sono riusciti a sopravvivere: i due attacchi sferrati al primo, come anche i tre sferrati al secondo, hanno avuto successo.
Perché abbiamo menzionato i sistemi operativi? Semplice: per la prima volta in assoluto, tutti gli attacchi sferrati hanno fatto ottenere agli hacker accesso root o privilegi di sistema elevati sul sistema operativo sottostante. Neanche a dirlo, Flash – anch’esso violato – ha avuto un ruolo quasi fondamentale in tutto ciò.
Ecco un rapido riassunto delle vittime del Pwn2Own 2016 e del numero di attacchi sferrati con successo:
- Microsoft Windows: 6;
- Apple OS X: 5;
- Adobe Flash: 4;
- Apple Safari: 3;
- Microsoft Edge: 2;
- Google Chrome: 1 (parziale).
Grande assente da questa lista è Firefox, che quest’anno purtroppo non ha partecipato al contest – poiché, secondo alcune security firm, non ha ricevuto importanti aggiornamenti riguardanti la sicurezza dalla scorsa edizione del 2015.
Insomma, nessuno si salva, anche grazie a quella che ad oggi è la bestia nera di Adobe: ciò tuttavia deve essere incoraggiante, poiché ci sono ottime probabilità che le varie software house corrano ai ripari e rilascino il prima possibile patch e correzioni per le falle scoperte.
