Google Chrome è stato “bucato”. È successo al CanSecWest, l'annuale conferenza sulla sicurezza informatica che si svolge a Vancouver, durante il contest "Pwnium", ovvero una competizione speciale promossa da Google che solo qualche giorno fa aveva messo in palio 1 milione di dollari come montepremi complessivo per tutti coloro che fossero riusciti a violare i sistemi di sicurezza del browser e ad individuare gravi vulnerabilità. C’è già il primo vincitore: è uno studente russo, Sergey Glazunov, che ha ottenuto il premio di prima fascia (60.000 dollari) dopo essere riuscito a bypassare, senza infrangerla, la sandbox di Chrome utilizzando due vulnerabilità non note del browser. Nel concorso ufficiale “Pwn2Own” del CanSecWest invece è stata l’azienda di sicurezza francese Vupen a “bucare" il browser. Per farlo i ricercatori di Vupen hanno sfruttato una falla di sicurezza della sandbox, che ha consentito loro di aggirare le protezioni DEP (Data Execution Prevention) ed ASLR (Address Space Layout Randomization) del sistema operativo, e un'altra vulnerabilità per superare la stessa sandbox. Non sono noti i dettagli della scoperta di Vupen, ma alcuni esperti ipotizzano che l’attacco possa essere stato eseguito tramite il plugin Adobe Flash Player che è direttamente supportato dal browser.
|