Pwn2Own, Chrome è il primo a cadere

La nuova edizione del celebre contest dedicato alle vulnerabilità web fa la sua prima vittima, vale a dire il browser che Google pubblicizza come il più sicuro in circolazione
La nuova edizione del celebre contest dedicato alle vulnerabilità web fa la sua prima vittima, vale a dire il browser che Google pubblicizza come il più sicuro in circolazione

La gragnola di vulnerabilità recentemente corrette da Google non è stata sufficiente a salvare Chrome dall’azione degli hacker intervenuti al Pwn2Own di quest’anno: l’evento ospitato dalla conferenza CanSecWest ha visto il browser di Mountain View capitolare dopo appena cinque minuti dall’avvio del contest.

Una edizione rinnovata nelle regole , il Pwn2Own del 2012, e con un bersaglio piuttosto ambito (Chrome appunto), vista la propensione di Google a premiare gli sforzi di hacker e smanettoni nell’individuare bachi precedentemente sconosciuti.

Vupen, il team responsabile di aver messo fine alla “inviolabilità” di Chrome durante il Pwn2Own, ci ha messo pochi minuti a superare le barriere protettive del browser di Google ma l’attacco era già stato sviluppato nel corso delle precedenti sei settimane.

Per neutralizzare la sandbox di Chrome e aprire la calcolatrice integrata nel browser, gli hacker si sono serviti di un exploit capace di sfruttare una vulnerabilità zero-day ancora ignota al pubblico. Anche così, secondo l’opinione del co-fondatore di Vupen Chaoki Bekrar, Chrome resta uno dei browser più sicuri in circolazione. “Non è un compito facile creare un exploit complete per bypassare tutte le protezioni della sandbox”, concede Bekrar.

Magari superare la sandbox di Chrome non è così facile, ma a quanto pare non è nemmeno poi tanto difficile: c’è riuscito anche uno studente universitario russo in occasione del contest Pwnium , nel corso del quale la sandbox del browser di Google è stata sconfitta ancora una volta facendo guadagnare 60mila dollari allo studente suddetto.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

08 03 2012
Link copiato negli appunti