Pwnium 2012: 60mila dollari a Pinkie Pie

Ad Agosto scorso avevamo annunciato la seconda edizione di Pwnium, il contest organizzato da Google per testare la sicurezza del loro browser Chrome.

In palio 2 milioni di dollari da suddividere in base alla gravità della falla trovata. Il premio più alto è di 60.000$ per chi trova vulnerabilità dipendenti solo da core di Chrome alla sua ultima versione mentre i soldi non assegnati al termine dell’edizione verranno reinvestiti sul gruppo di sviluppatori di Chrome.

Nell’edizione di quest’anno svoltasi a Kuala Lumpur lo scorso 10 Ottobre  c’è stato un vincitore, anzi, il vincitore. Si, perché a vincere il premio più alto è stato ancora una volta Pinkie Pie già vincitore (insieme ad altri) del premio sempre da 60.000$ anche nella precedente edizione. La falla trovata consente di bypassare senza problemi la Chrome sandbox e i tecnici di Mountain View hanno annunciato di aver già provveduto a patchare tale vulnerabilità.

Di seguito quanto riportato da Google nel blog ufficiale di Chronium:

As part of our ongoing effort to reward exceptional vulnerability research in the security community, we hosted the Pwnium 2 competition at Hack in the Box 2012 in Kuala Lumpur yesterday.

We’re happy to confirm that we received a valid exploit from returning pwner, Pinkie Pie. This pwn relies on a WebKit Scalable Vector Graphics (SVG) compromise to exploit the renderer process and a second bug in the IPC layer to escape the Chrome sandbox. Since this exploit depends entirely on bugs within Chrome to achieve code execution, it qualifies for our highest award level as a “full Chrome exploit,” a $60,000 prize and free Chromebook.

One of Chrome’s most effective security defenses is our fast response time and ability to update users with critical patches, quickly. These bugs were no exception. We started analyzing the exploit as soon as it was submitted, and in fewer than 10 hours after Pwnium 2 concluded we were updating users with a freshly patched version of Chrome.

We’d like to thank Pinkie Pie for his hard work in assembling another great Pwnium submission. We’ll post an in-depth look at the bugs used and subsequent mitigations once other platforms have been patched.

Posted by Chris Evans, Software Engineer

Complimenti a Pinkie Pie!

Click to comment
To Top