Il Pwn2Own 2012 ha avuto inizio e quest’anno, a differenza di quanto verificatosi in precedenza, le cose non sono andate molto bene per Google Chrome: il tam francese di Vupen Security, infatti, dopo soli cinque minuti dall’inizio della competizione, è riuscito ad hackerare il browser web reso disponibile da big G.
Ha avuto quindi fine, in tal modo, la lunga serie di tentativi malriusciti di “bucare” Google Chrome che avevano avuto luogo nel corso delle edizioni precedenti del ben noto contest mirante all’individuazione di eventuali falle nei browser web maggiormente diffusi.
L’obiettivo dei tecnici di Vupen Security, così come reso noto da Chaouki Bekrar, CEO della società, è stato infatti quello di dimostrare che anche Google Chrome, così come gli altri browser web presenti sulla piazza, non è inviolabile.
I tecnici del team hanno infatti sfruttato una lacuna di sicurezza di Chrome mediante cui è stato possibile scavalcare le protezioni DEP ed ASLR del sistema operativo unitamente ad un’altra vulnerabilità grazie alla quale sottrarsi ai lacci della sandbox del browser di big G.
In merito alla scoperta di Vupen Security non è stata rilasciato, almeno non per il momento, alcun dettaglio ma stando alle ipotesi di alcuni esperti i ricercatori avrebbero sfruttato il plugin Adobe Flash Player che risulta direttamente supportato da Chrome.
Unitamente alla vulnerabilità scoperta dal team Vupen Security anche Sergey Glazunov, un altro ricercatore, proprio poche ore prima è riuscito a conquistare il premio di ben 60.000 dollari messo in palio da Google per aver intaccato le misure di sicurezza di Chrome durante la gara avviata in concomitanza con la conferenza annuale Cansecwest.
Anche per quanto rigurada Glazunov l’exploit consente di bypassare la sandbox.
#1dantor86
Chi l’avrebbe mai detto…facevano tanto gli sboroni…e ora gli tocca pure sganciare i dindini…però alla fine fessi non sono: pagano hacker per farsi sgamare i bug e li correggono…mica scemi!!
#2zpc12
non me lo sarei mai aspettato!!
#3Ratamusa
Volete dire che non vi aspettavate che un browser costruito con i piedi venisse bucato?
Non vi facevo così ingenui e sprovveduti….
#4Raziel
Dire che è costruito con i piedi è un’offesa anche per me che tifo ed uso solo Firefox…
Non esageriamo
#5Alberto
@dantor86 hai ragione…. li pagano per farsi trovare le falle nella sicurezza! Mica scemi! 🙂
#6Beppe85
Costruito con i piedi?
#7daddy
Costruito con i piedi?
#8TheQ.
wow, una sveltina magnifica, 5 minuti 60.000 dollari.
#9–__–
Certo che se devono arrivare a parlare quelli che fino ad un paio di anni fa vedevano il loro browser bucato subito dopo quella chiavica di safari,
il tutto per una falla latente dal 2006, stiamo inguaiati forte…
semplicemente si è dimostrato che il chrome dalla scorza dura che nelle
ultime due edizioni non ha ceduto, ha anche lui qualche tallone d’achille
NON ESISTE IL SOFTWARE PERFETTO NE TANTOMENO QUELLO INVULNERABILE, finchè comunicherà con l’esterno con un protocollo si potrà sperare di aggirarlo e mascherandosi da “traffico regolare” poter fare cose che regolari non sono, basta solo trovare il modo.
Perciò bando alle battutine che tanto lo sapete meglio di tutti
che quella gente la di certo non gira sul web ad hackerare i pc della gente
che c’ha chrome, prendono i soldi e se ne vanno a casa,
prima che qualcuno cominci a sfruttare seriamente certe falle
ci sarà già l’update che mette la toppa costringendoli a ricominciare tutto daccapo, la qualità si nota sotto ben altri aspetti e non è un caso
che il panda rosso ultimamente stia solo imbottendo gli utenti
di un update al mese senza avere significativi stravolgimenti
ne chissà quali ottimizzazioni, per quanto mi riguarda l’unica accoppiata possibile è explorer 9 e chrome, il primo per modesta velocità e enorme
compatibilità con i siti in giro per il web (soprattutto se si parla di lavoro) ed il secondo per l’estrema velocità e mangevolezza, soprattutto quando devi fare cose non troppo seriose che ti impegnano per un attimo.
#10Fil
@Ratamusa: costruito con i piedi non direi…
Questa è una delle poche volte (se non l’unica) che Chrome viene bucato…
E chissà perché nonostante sia relativamente giovane come browser ha anche una sandbox, a differenza degli altri browser!
#11Ratamusa
Sì, costruito con i piedi.
Un browser che non oppone alcuna resistenza ai tentativi di intrusione ed è costruito in quel modo per conquistare il mondo (approfittando delle persone “scarsine” d’informatica) è costruire con i piedi.
Tanto tempo fa una cosa del genere era successa con un altro browser che a furia di insistere con la sua politica monopolista ha perso quasi un terzo del suo mercato.Ci sono segni e speranze che chi lo produceva abbia imparato dagli errori di un tempo.
Altri no.Non hanno ancora capito.Temo che finirà nella stessa maniera in cui è finita allora.
#12rdx
costruito con i piedi? forse l’hai scritto proprio con i piedi….. beata ignoranza!
#13Matteo
@theQ forse nn ti sei informato bene quelli dei 5 minuti hanno vinto ben 1 milione di dollari se leggi qua ti accorgi ke sono stati messi in palio 1.120.000$ a mio parere buttati dalla finestra…da google non me lo aspettavo proprio
#14Ratamusa
@12
La motivazione, anche se “poco rigorosa” è @8 e@13
Non mi sembra che gettare al vento quei soldi indichi una buona programmazione…
IMHO, naturalmente….