Microsoft Edge: gli hacker di Pwn2Own 2017 lo bucano cinque volte
Che Edge continui a soffrire nello scalare quote nel mercato dei browser web non lo scopriamo certo oggi (al momento è attorno al 5% del totale), nonostante Microsoft continui a fare di tutto per spingerlo presso gli utenti di Windows 10 lodandone soprattutto la velocità, l’attenzione ai consumi e il livello di sicurezza.
Resta il fatto che Chrome, Internet Explorer e lo stesso Firefox rimangono per ora irraggiungibili e una notizia non proprio positiva per il browser di Windows 10 arriva dall’evento canadese Pwn2Own 2017, competizione tra hacker che ha come scopo quello di riuscire a trovare delle falle in specifici software. Ebbene, in questa corsa a bucare i browser web Edge è risultato quello più violato dagli hacker.
In tre giorni infatti Edge è stato violato almeno cinque volte contro le tre volte di Safari e un solo tentativo andato a buon fine con Firefox. Chrome si è invece dimostrato il browser più sicuro, tanto che durante l’evento nessun gruppo di hacker è riuscito a violarlo nemmeno una volta.
Ma esattamente che metodi hanno usato gli hacker per bucare Edge? Nella maggior parte dei casi si è ricorsi alle vulnerabilità del motore JavaScript “Chakra”, ma il team hacking 360 Security è riuscito a bucare il browser sfruttando un importante exploit che ha utilizzato un errore di heap overflow, una lacuna di sicurezza nel kernel di Windows e un’altra nel software di VMware, riuscendo in questo modo a uscire dalla sandbox e provocare l’esecuzione del loro codice sulla macchina virtuale guest (virtual machine escape).
Non certo una bella pubblicità per Microsoft, che a questo punto dovrà migliorare non poco l’attenzione alla sicurezza del suo browser, considerando le implicazioni che notizie simili potrebbero avere soprattutto presso un’utenza professionale.