Google Chrome, bucato dopo pochi minuti al Pwn2Own
Il Pwn2Own 2012 ha avuto inizio e quest’anno, a differenza di quanto verificatosi in precedenza, le cose non sono andate molto bene per Google Chrome: il tam francese di Vupen Security, infatti, dopo soli cinque minuti dall’inizio della competizione, è riuscito ad hackerare il browser web reso disponibile da big G.
Ha avuto quindi fine, in tal modo, la lunga serie di tentativi malriusciti di “bucare” Google Chrome che avevano avuto luogo nel corso delle edizioni precedenti del ben noto contest mirante all’individuazione di eventuali falle nei browser web maggiormente diffusi.
L’obiettivo dei tecnici di Vupen Security, così come reso noto da Chaouki Bekrar, CEO della società, è stato infatti quello di dimostrare che anche Google Chrome, così come gli altri browser web presenti sulla piazza, non è inviolabile.
I tecnici del team hanno infatti sfruttato una lacuna di sicurezza di Chrome mediante cui è stato possibile scavalcare le protezioni DEP ed ASLR del sistema operativo unitamente ad un’altra vulnerabilità grazie alla quale sottrarsi ai lacci della sandbox del browser di big G.
In merito alla scoperta di Vupen Security non è stata rilasciato, almeno non per il momento, alcun dettaglio ma stando alle ipotesi di alcuni esperti i ricercatori avrebbero sfruttato il plugin Adobe Flash Player che risulta direttamente supportato da Chrome.
Unitamente alla vulnerabilità scoperta dal team Vupen Security anche Sergey Glazunov, un altro ricercatore, proprio poche ore prima è riuscito a conquistare il premio di ben 60.000 dollari messo in palio da Google per aver intaccato le misure di sicurezza di Chrome durante la gara avviata in concomitanza con la conferenza annuale Cansecwest.
Anche per quanto rigurada Glazunov l’exploit consente di bypassare la sandbox.