Pwn2Own 2017, rivelati bug “pro-hacker” di Windows 10 e Microsoft Edge

Pwn2Own 2017, l’edizione annuale di uno dei contest di hacking etico internazionale più popolari nel mondo della security, ci porta come sempre novità importanti per quanto riguarda le vulnerabilità di prodotti software in uso ormai da tanti utenti, tra cui il browser Microsoft Edge e il sempre più diffuso Windows 10.

Protagonista del Pwn2Own 2017 il gruppo di sicurezza cinese Qihoo 360, che ha saputo rintracciare vulnerabilità di sistema nell’ultima iterazione del sistema operativo Microsoft e di Edge, superandone agevolmente le difese nonostante gli sforzi della casa di Redmond per renderlo molto più sicuro di Internet Explorer. Il risultato ha permesso al team di ottenere un premio da 105.000 dollari, una cifra più che ragguardevole considerando la media delle ricompense offerte ai cosiddetti “bug hunters”.

L’evento ha visto inoltre la partecipazione di altri concorrenti, che sono riusciti a far crollare le difese del “bistrattato” Adobe Flash, Adobe Reader, ma anche di software stimati per la loro sicurezza quali Mozilla Firefox, e persino macOS, ultimamente preda inoltre di malware progettati in maniera specifica per ridurre le difese dei prodotti Apple.

Al Pwn2Own 2017 il team Qihoo 360 ha saputo inoltre dimostrare che nemmeno le attività informatiche svolte all’interno di una virtual machine, spesso utilizzata per mantenere al sicuro il sistema operativo simulando un OS guest all’interno della macchina, possono essere considerate “safe”. I contenuti possono comunque passare dalla VM al sistema operativo principale, ponendo nuovi dubbi in merito alla ricerca di sicurezza assoluta.

Le tecniche utilizzate dai team di hacking al Pwn2Own 2017 sono ovviamente strettamente confidenziali, e divulgate alle case produttrici affinché possano provvedere alle nuove patch di sicurezza: come ogni anno, Microsoft, Mozilla, Apple e Adobe potranno aggiungere un tassello in più al complicato mosaico della sicurezza informatica.

via