Come ogni anno, anche nel 2015 si è svolto l’evento ‘Hewlett-Packard’s Pwn2Own browser-hacking contest’, in cui la ben nota azienda HP mette in palio diversi premi in denaro (quest’anno $645k) per i ricercatori che trovano il bug che impatta più browser e/o i plugin più utilizzati.

Durante l’evento sono state scoperte due vulnerabilità (CVE-2015-0817 e CVE-2015-0818) abbastanza critiche; ecco quanto riportato da Mozilla:

Fondamentalmente si tratta di alcuni bachi (uno all’implementazione del motore Javascript, l’altro all’algoritmo che processa gli SVG) che permetterebbero l’esecuzione di codice con alti privilegi sulla macchina che renderizza la pagina web.

Come anche gli altri anni, Mozilla è la prima a rilasciare le patch per le vulnerabilità scoperte durante l’evento Pwn2Own, battendo tutti gli altri browser sul tempo.

Tutte le versioni inferiori alla 36.0.3 risultano vulnerabili. Aggiornamento consigliato quindi!

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.