Dopo la prima giornata del Pwn2Own, la competizione hacking ospitata dalla conferenza CasSecWest, Internet Explorer 8 e Safari escono di scena impietosamente bucati dai partecipanti.
A demolire le difese di Internet Explorer 8 ci ha pensato Stephen Fewer del gruppo Harmony Security, che per la sua impresa ha vinto, oltre ai 15.000 dollari in palio, anche un portatile Sony Vaio. Il sistema da compromettere era basato su Windows 7 Service Pack 1 a 64 bit e Internet Explorer 8 a 32 bit. Tre le vulnerabilità utilizzate da Fewer, due delle quali gli hanno permesso di eseguire del codice sul browser e la terza di bypassare l’IE Protected Mode. A nulla sono valse la DEP (Data Execution Prevention) e la ASLR (Address Space Layout Randomization), due meccanismi di protezione integrati nella nuova versione di Windows. C’è però da dire che l’impresa è stata tutt’altro che semplice: Fewer ha studiato per oltre un mese le tre vulnerabilità per poterle sfruttare nel migliore dei modi.

Le difese di Safari sono invece state infrante dal team VUPEN, che ha dichiarato di aver trovato una vulnerabilità nel motore di rendering WebKit. A questo proposito c’è da dire che la prova è stata eseguita con la penultima versione di Safari e non con la 5.0.4, uscita nella notte. In ogni caso, per superare le difese DEP/ASLR di Safari ed eseguire codice arbitrario sono bastati pochi secondi e una pagina web preparata ad hoc. Il sistema sul quale è stato effettuato l'hack era dotato di Mac OS X 10.6.6.
Domani sarà la volta di Firefox e forse di Chrome, visto che oggi gli hacker che dovevano provare a infrangerne le difese non si sono presentati. A seguire le prove di hacking sugli smartphone iPhone, Blackberry, Android e Windows Phone 7.